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Apache 

Ευέλικτο storage box yia To VPS σας 

Πλήρες LEMP stack για έναν Leap server 

deltaCast s03e05 | Linux 4SuperUsers [μέρος 5] 

Let's Encrypt certificate, yia Tov Apache oTo openSUSE 
Πώς θα έχετε τον πιο πρόσφατο Linux kernel στο Leap 42.2 


#dH058 | Περιεχόμενα 
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Ότι σας αρέσει, σχεδόν πάντα 
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Ογάιδαρος πετάει 

Nextcloud στο Raspberry Pi, από την καλή ....cccsccsccscsescsscseesssesscsecseeseeceecaecaesaeseseessaesaesaesessaeeaesaeeaeees 14 


Me λίγη προετοιμασία το Raspberry Pi μεταμορφώνεται σε άξιο αντικαταστάτη του 
Dropbox. Δείχνουμε πώς εγκαθιστούµε και ρυθµίζουµε το Nextcloud, τον διάδοχο του 
ownCloud, στο ταπεινό αλλά ικανότατο Raspberry. 


Apache, virtual hosts και πιστοποιητικό από Let's Εποιγρῖ.............................-.-----εεετεέόεέόέεόνὃόνὃννἓνν, 28 


Αναλυτικά και βήμαπρος Bhua δείχνουμε πώς εγκαθιστούµε και ρυθµίζουµε τον Apache 
web server σε ένα VPS με openSUSE, καθώς και πώς αποκτάμε έγκυρα πιστοποιητικά SSL 
για Ta virtual hosts του Apache 


Ενεργοποίηση του SSH agent σε terminal sessions .............::ccscceeeceseeeseceseesseeeseeeaeeeaeseaeesaeesseesaeeeseess 48 


Πώς φορτώνουμε και διατηρούμε στη μνήμη το ιδιωτικό µας κλειδί SSH, για όσο εργαζό- 
μαστε σε terminal session. 


Storage box για τον cloud server κι όχι µόνο... 


Αγορά ευέλικτου Storage Box και προσάρτηση σε openSUSE Leap VPS μέσω ασφαλούς 
σύνδεσης WebDAV. 


Πώς θα έχετε πάντα το νεότερο πυρήνα στο OpenSUSE Leap 


Τι πρέπει να κάνουμε WOTE TO openSUSE Leap 42.2 να EXEL πάντοτε την πλέον πρόσφατη 
ἐκδοση του πυρήνα. 


Χτίσιμο ΕΜΡ:514αεἱἑστο9Ρ8ἠ505Ε....:.::----ε-εΞε-ἑετεἑεεεεεεεεσιεεεέειεεοσεσεσεεδεσεέεσεεεσσεσεσεζὀζὀσσέζεέεἲεαοσεσεσὀβαέσεέεσὀνες 64 


Το ακρωνύμιο LEMP αναφέρεται στο σύνολο του λογισμικού που αποτελείται από τον 
διακομιστή ιστοσελίδων nginx, τη σχεσιακή βάση δεδοµένων MySQL, τη σκριπτογλὠσσα 
PHP και κάποια διανοµή του Linux. Ένα μηχάνημα ue LEMP stack, όπως λέμε, εἶναι ικανόνα 
σερβίρει web sites µε δυναμικό περιεχόµενο ή να φιλοξενεί web applications γενικότερα. 


Αναβάθµιση Nextcloud από το web panel ... 


Όταν φτάνει η wpa για THY αναβάθµιση του Nextcloud, το σύστηµα δεν χάνει ευκαιρία για 
να µας το θυμίζει. Όσο φασαριόζικη κι αν φαντάζει µια τέτοια δουλειά καλό είναι να µην 
την αμελούμε, ειδικά αν ο Server είναι προσβάσιμος από To Internet. 


Φορητά εικονικά εργαστήρια & δικτύωση αναλόγως τοποθεσίας ................................................- 88 


Πα τα laptop που αλλάζουν συχνά φυσική τοποθεσία, κι επομένως συνδέονται συχνά σε 
διαφορετικά δίκτυα, οι παράμετροι δικτύωσης που λαμβάνονται από τον εκάστοτε router 
μερικές φορές δεν βολεύουν. 
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— 
DigitalOcean 


Ταχύτατα VPSes oto cloud, σε hosts µε δίσµους SSD. 
Επιβογή datacenter σε Ευρώπη, Αμεριµή μαι Ασία. 
Lean-mean control panel, για απόῆυτο έβεγχο. 


Αποητήστε τώρα το δικό oas VPS, 

oto cloud tns DigitalOcean. 

Κάντε KAIK oto http://bit.ly/digocean 1 Ooff 
Kal κερδίστε αυτομάτως 105 σε credit. 


Hint: Επιβέγοντας το µιμρό πϑάνο, 

πάντα με μῆιη στο http: //bit. ly/digocean1 Ooff, 
ουσιαστιµά έχετε δύο µήνες δωρεάν για ένα VPS 
µε 512ΜΒ RAM, 20GB SSD και 1TB transfer. 


ΜΝ Δεν είναι KI άσχημα 


/var/log/massages 


Ό,τι σας αρέσει, σχεδόν πάντα 


του Χρήστου Βαρελά 


Φίλες και φίλοι, 


Πάντα πιστεύαμε, πιστεύουμε και θα συνεχίσουμε ναπιστεύουμε, OTLO 
Σύγχρονος Άνθρωπος" οφείλει να επιδιώκει και να κάνει ότι του αρέ- 
σει. 


Αρκεί βεβαίως αυτόπουτου αρέσειναµη βλάπτειτους συνανθρώπους 
του, οπότε αμέσως αμέσως αποκλείουµε κατηγορίες δραστηριοτήτων 
τις οποίες νομίζουμε πως δεν EXEL νόημα ούτε καν V' αναφέρουμε. 


Άλλωστε μεγάλα παιδιά είμαστε - και καταλαβαινόμαστε. 


Κι επειδή είμαστε μεγάλα παιδιά (και καταλαβαινόμαστε), δεν χρειά- 
ζεται να σημειώσουμε ότι μερικές φορές *OEV* μπορούμε να κάνουμε 
ότι θέλουμε. Ti va γίνει, δεν είμαστε μόνοι µας στον Πλανήτη και συχνά 
υποχρεωνόµαστε να κάνουμε πράγματα που δεν µας πολυαρέσουν. 


Αλλά όταν τελειώνουμε HE TLC ὀχι-και-τόσο ευχάριστες ή ακόµη και ÕU- 
σάρεστες εργασίες και υποθέσεις, αξίζει να επικεντρωνόµαστε ξανά 
σε ότι µας EAKEL κι EXEL κάτι να µας πει. 


Το αποτέλεσµα είναι OTL, µέσω ευχάριστων για εμάς ενασχολήσεων, δι- 
αρκώς γινόμαστε καλύτεροι κι ωφελούμαστε. Και δεν ωφελούμαστε 
μόνον εμείς, αλλά συνήθως ωφελούνται και οι γύρω µας. Σκεφτείτε: 
Ενώ το κίνητρό µας είναι καθαρά εγωιστικό (κάνω αυτό που "μουν apé- 
σει) τελικά κερδίζουν περισσότεροι από ένας άνθρωποι. 


Έχουμε µια ροπή προς τη γενικολογία, φίλες και φίλοι, και φαίνεται. 
Αυτή τη φορά όµως αξίζει να γίνουμε λίγοπιο συγκεκριμένοι, αναφέρο- 
ντας éva ή δύο παραδείγματα. 


Στο πρώτο παράδειγµα συζητάμε για έναν αρθρογράφο που δουλεύει 
σε ψηφιακό περιοδικό τεχνολογίας. Αλήθεια, γιατί κάποιος θα ήθελενα 
ασχοληθεί µε το αντικείµενο; Η προφανής απάντηση εἰναι διότι (σχε- 
δόν) όλοι µας κάτι πρέπει να κάνουμε για να ζήσουμε. Έτσι είναι - κι 
άνετα μπορούμε να φανταστούμε έναν αρθρογράφο ο οποίος ξεκίνησε 
να κάνει αυτή τη δουλειά μόνο και μόνο επειδή έπρεπε να εργαστεί. 
Ίσως όµως υπήρχαν κι άλλοι λόγοι που οδήγησαν το φίλο µας εκεί 


/var/log/messages 


που εἰναι κι ὀχι, T.X., στον πολλά υποσχόµενο κλάδο TOU αγροτουρισμού 
(λέμε τώρα) ή στον ακόµα πιο πολλά υποσχόµενο κλάδο της µεσογεια- 
κής ιχθυοκαλλιέργειας (σκοτοδίνη). 


= Ίσως του αρέσει η τεχνολογία (μάλλον σίγουρο) κι έχει έφεση προς τον 
γραπτό λόγο (πολύ πιθανό). Επιπρόσθετα μάλλον του αρέσει και η έρευ- 
να, διασκεδάζει δοκιµάζοντας/χαλώντας/φτιάχνοντας και, last but not 
least, καταφέρνει και μεταδίδει τις όποιες γνώσεις έχει ακόµη και σε 
αναγνώστες οι οποίοι δεν είχαν καν ακούσει για TO εκάστοτε θέµα που 
παρουσιάζει κι αναπτύσσει. 


= Θα συμφωνήσετε, φανταζόμαστε, ότι ο υποθετικός αυτός αρθρογρά- 
φος τεχνολογίας βρίσκεται στο σωστό χώρο και μάλιστα πληρώνεται 
Ἀχωρίς3 να δουλεύει. Ναι, σωστά διαβάσατε: δεν δουλεύει ο άνθρωπος, 
αφού ότικάνειτοβλέπει πρώτα σαν διασκέδαση και µετά ως οτιδήποτε 
άλλο. 


= Αν τώρα θέλουμε να είμαστε λίγο περισσότερο ακριβολόγοι και TPO- 
σγειωμένοι στην πραγματικότητα, πρέπει στο σηµείο αυτό να επισηµά- 
VOUE OTL ο φίλος µας δεν κάνει πάντα ότι του αρέσει. Συχνά αναγκά- 
ζεται και δουλεύει µε άλλους συναδέλφους κι όλοι μαζί τεστάρουν κι 
αξιολογούν φορητά media players (μιλάμε για «το: blast from the past), 
φωτογραφικούς εκτυπωτές (δάκρυα από τη βαρεμάρα) ή ακόµη και TO- 
λυσυσκευές που συνδυάζουν εκτυπωτή, σαρωτή και φαξ (αντίο κόσμε). 


= Γενικά όµως του αρέσει πολύ η δουλειά του και, όπως µπορείτε να UTO- 
θέσετε, αυτό τον κάνει να εἰναι καλός και μεταξύ άλλων va απολαµμβά- 
νει και µια κάποια εργασιακή ασφάλεια. Ποιοι άλλοι κερδίζουν, εκτός 
amo εκείνον; Πρώτα πρώτα κερδίζουν οι άνθρωποι του οικογενειακού 
του περιβάλλοντος, για προφανείς μάλλον λόγους. Κερδίζουν όµως και 
αναγνώστες του περιοδικού. Κατ’ αρχάς, εἰναι αποδέκτες «και” της KA- 
λής δουλειάς του αρθρογράφου και χαίρονται µε ότι διαβάζουν. Κατά 
δεύτερον, ίσως μαθαίνουν πράγματα που τους εἶναι άµεσα χρήσιμα. Επι- 
πρόσθετα, κάποιοι από τους αναγνώστες εμπνέονται και προχωρούν σε 
συγκεκριμένες επιλογές, π.χ. περί σπουδών ή επαγγελματικού προσα- 
νατολισμού. Αρκετοί λοιπόν ωφελούνται, στον έναν ἡ στον άλλον βαθ- 
uó, AMO τα αποτελέσµατα της εργασίας ενός ανθρώπου, ο οποίος aya- 
πά αυτό που κάνει. O ἰδιος βέβαια δεν εἶναι δυνατόν να γνωρίζει για τα 
αποτελέσµατα της δουλειάς του - και μάλλον αδιαφορεί. Σημασία για 
εκείνον έχει να κάνει ότι του αρέσει. 


= Στο δεύτερο παράδειγμά µας, ας συζητήσουμε για έναν άλλον φίλο ο 
οποίος δουλεύει ως Quality Assurance Engineer σε µια εταιρεία που πα- 
ρέχει υποστήριξη σε Open Source Software. Με λίγα λόγια -κι επειδή 


/var/log/massages 


δεν χρειάζεται να είμαστε 100% ακριβείς για To job description—, ας πούμε 
ότι κάθε φορά που εφαρμόζονται patches σε λογισμικό που υποστηρίζει η 
εταιρεία τότε ο ἀνθρωπός µας οφείλει να βεβαιώνει ότι το αναβαθµισµέ- 
νο λογισμικό δουλεύει σωστά κι όπως προβλέπεται. Οι πελάτες, δηλαδή, 
με κανέναν τρόπο δεν πρέπει να παίρνουν λογισμικό κατώτερης ποιότη- 
τας, σε σχέση µε εκδόσεις που ήδη χρησιμοποιούσαν. 


=" Επαναλαμβάνουµε το ερώτηµα που θέσαµε προηγουμένως: Πατί κάποιος 
θα ήθελε να δουλέψει We QA Engineer; O προφανής λόγος είναι διότι XPEL 
ACETAL µια δουλειά για να ζήσει και μπορούμε να φανταστούμε έναν QA 
Engineer ο οποίος ξεκίνησε στο χώρο µόνο και µόνο επειδή “πρέπει” να 
δουλέψει κ.λπ. κ.λπ. Ίσως όµως υπάρχουν κι άλλοι λόγοι που οδήγησαν 
ΤΟ (νέο) φίλο µας εκεί που τώρα εἰναι κι όχι, TX., στο να γίνει ψυκτικός 
(ξέρετε πόσα βγάζουν οι καλοί ψυκτικοί)) ή στο να χτίσει καριέρα ως stand 
up comedian (τιμή, δόξα και χρήμα, για τους πετυχηµένους κωμικούς του 
εἰδους). 


= Ίσως του αρέσει το Linux ειδικότερα και το F/LOSS γενικότερα. Μπορεί 
επίσης να EXEL έφεση προς την αναλυτική προσέγγιση στην επίλυση προ- 
βλημάτων και να γοητεύεται από τον προγραμματισμό, χωρίς να εἰναι 
developer. Επειδή εξάλλου βαριέται ν' ασχολείται µε το ίδιο πράγμα ξανά 
και ξανά, όταν συνειδητοποίησε πως δεν θα κάνει QA μόνο για µία εφαρµο- 
γή τότε είδε μπροστά του ν' ανάβει ένα πράσινο φως. 


= Οφίλος µας δεν ταπάει άσχημα µε το QA (ακόµα μαθαίνει) κι αυτό βεβαίως 
εἶναι καλό για τον ἰδιο. Είναι φυσικά καλό και για τους συναδέλφους του, 
άρα και για την εταιρεία. Οι δε πελάτες δεν ανακαλύπτουν regressions (ας 
το ελπίσουμε!) στις ανανεωμένες εκδόσεις του λογισμικού που λαμβάνουν, 
επομένως όλα δείχνουν όμορφα κι ωραία και κανείς δεν παραπονιέται. 


= Ποιοι άλλοι ωφελούνται απ’ αυτή την κατάσταση; Όπως και στο προηγού- 
µενο παράδειγµα, η προφανής απάντηση δείχνει στο οικογενειακό TEPL- 
βάλλον του μηχανικού (είμαστε έτοιμοι να τον πούμε "κιού-έι’, δειλιάσαμε 
όμως). Μάλιστα. Κανείς άλλος, ωφελείται; Χμ, ίσως. Αν, π.χ. υποθέσουμε 
ότι ο φίλος µας (ο κιού-έι) τα πηγαίνει καλά µε τον γραπτό λόγο, τότε δεν 
είναι διόλου απίθανο να υποθέσουμε κι ότι μπλογκάρει για τη δουλειά του, 
για τις νέες τεχνολογίες που μελετά αλλά και για τα ενδιαφέροντα προ- 
βλήματα που αντιμετωπίζει. Ίσως μάλιστα να µη γράφει σε µπλογκπουτο 
διαβάζουν 5-6 άνθρωποι, αλλά σε (ψηφιακό) περιοδικό µε λίγους περισσό- 
τερους συνδρομητές. Θα μπορούσαμε εδώ να σκεφτούμε OTL το πρόσωπο 


/var/log/meassages 


TOU πρώτου παραδείγματος είναι ίδιο µε TO πρόσωπο του δεύτερου NAPA- 
δείγματος, απλά σε διαφορετικές χρονικές περιόδους. Πραγματικά όµως, 
δεν υπάρχει λόγος για τόσο τραβηγµένα σενάρια. 


= Φανταστείτε OTL TO πρόσωπο του δευτέρου παραδείγματος (το οποίο σχε- 
δόν σίγουρα είναι διαφορετικό από εκείνο του πρώτου παραδείγματος) 
EXEL να δουλέψει µε ένα προϊόν Storage που βασίζεται στο Ceph και η εται- 
ρεία πουλά υποστήριξη σε όσους ενδιαφέρονται να το αξιοποιούν. Ο φίλος 
μας τότε θα ξεκινήσει μαθαίνοντας γι αυτό το Ceph, για Ta storage clusters, 
για τα διαφορετικά interfaces (object/block/file-level) που παρέχει μια τέ- 
TOLA πλατφόρμα στις εφαρμογές κ.ο.κ. Μετά θα θελήσεινα υλοποιήσειτα je" » 
δικά του storage clusters για testing, τα οποία μάλιστα δεν εἶναι υποχρεω- 
τικό να βασίζονται σε physical hardware (ακόµη κι ένα laptop µε 16GB RAM 
εἶναι αρκετό για Eva απλό cluster εκπαιδευτικού χαρακτήρα). Αν κάποια 
στιγμή στιγµή ξεκινήσει να γράφει ἀρθραγια το όλο θέµα, ώστε να EXEL TLC 
νεοαποκτηθείσες γνώσεις και μεθοδολογίες σε µια καλή σειρά και να µη 
χάνεται, δεν θα κερδίσουν κάτι και µερικοί απ όσους τα διαβάσουν; Δεν ξέ- 
POUE πώς το βλέπετε εσείς, σκεφτόμαστε όµως ότι δυο-τρεις άνθρωποι, 
τους οποίους ο φίλος µας δεν γνωρίζει καν, όλο και κάτι θα μάθουν κι αργά 
ή γρήγορα θα τους φανεί χρήσιμο. 


= Τι καθιστά µη-μηδενική την πιθανότητα για θετικά αποτελέσµατα, στα δύο 
μόλις από τα ατέλειωτα σενάρια που θα μπορούσαμε να φανταστούμε; Ma, 
το γεγονός ότι οι πρωταγωνιστές τους φροντίζουν και κάνουν ότι τους 
αρέσει. 


= Σχεδόν πάντα, φυσικά. 


ΥΓ Οποιαδήποτε ομοιότητα µε πρόσωπα και καταστάσεις του πραγματικού 
κόσμου είναι εντελώς συμπτωματική - εκτός από τις περιπτώσεις που δεν 
είναι. 
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Αγαπητοί μου, 

Καλοκαίριασε. i 

Τρόπος του λέγειν δηλαδή, ylati εδώ πον εἴμαστε καθισμένον, στην αποβάθρα 
τον Χένυνγκσβερ, στα νησιά Λόφοτεν, HAVE TETOLO YOPOXPVO που αναρωτιέταν 
κανείς πώς και συνεχίζουν να κατοικούνταν τέτοια μέρη. 

Eyer βέβανα ήλιο, δε λέω, αλλά το βοῦνό πον βλέπω μπροστά. µου έχεν χιόνια. 

Ὑπερβάλλω βέβανα. Χιόνια έχεν, αλλά βουνό, δεν θα το έλεγες. Λόφοτεν ὀνο- 
μα καν πράμα. Ένα λοφάκν κακοτράχαλο, κάτι σαν τα Τουρκοβούνια αλλά στο 
πιο νορβηγικό. Πάνω από διακόσια µέτρα ύφος δεν το κόβω. 

Περυμένουμε το φέρυ που θα µας περάσει απέναντι. Μετά θα πάρουμε το λεω- 
φορείο για ΜπΥνέρΝβιΙΝ, από όπου µε ανταπόκριση θα πάρουμε το λεωφορείο για 
ἸΤρόμσο. Από Ἱρόμσο πετάµε για Ίναρι, στην Φινλανδική Λαπωνία. Στόχος µας 
είναι να είμαστε στο Ίναρι ίσα πριν βραδιάσει, για να προλάβουμε (αν µπορέ- 
σουµε) τις εορταστικές εκδηλώσεις του Vappu. Vappu, όπως εύκολα μπορεί ο 
καθείς να βρεν στον ιντερνέ, ονομάζουν ον Φινλανδοί την Πρωτομαγιά. 

To Vappu, όπως προκύπτει αβίαστα από τα δεδοµένα, πέφτει την Πρωτοµα- 
γνά. O χρόνος µας λουπόν είναν λίγο τσίµα τσίμα. 

To πρόβλημα µε τη Σκανδιναβία είναν πως ποιτάς στον χάρτη και όλα μοιά- 
ζουν να είναν το ένα δίπλα στο άλλο. E, ένα καραβάκι είναν, λες, θα το πάρου- 
pe. Καν µετά συνειδητοποιείς πως το ταξίδι µε το «καραβάκι», από το ένα χωριό 
στο άλλο, κρατάει ξέρω 'yw JZ ώρες. H, εναλλακτυκώς, µία ώρα καν 45 λεπτά µε 
το αεροπλάνο. 

Χαμός. 

Λέμε λοιπόν OTL θέλουµε να προλάβουμε το Vappu, αλλά, μεταξύ μας, χλω- 
μό το βλέπω. Κατά τα άλλα έχουµε ήδη αγοράσει καν φοράμε τα παραδοσιακά 
πρωτομαγιάτικα κασχετάκνα του Vappu. Είμεθα pra παρέα καθ' όλα αυθεντικών 
ντόπιων περιηγητών. 

Προς το παρόν περιηγούµαστε περιμένοντας στην αποβάθρα. 

Έχουμε καιρό να τα πούμε KGL αναρωτιόµουν, να πω την αλήθεια, TL να σας 
γράφω. Mov είναν προφανές πως δεν περιμένετε από εμένα yra να ενημερωθείτε 
περί όσων γραφυκών λαμβάνουν χώρα στη γαλανή µας πατρίδα. Υποθέτω, µάλι- 
στα, πως θα έχετε ενημερωθεί καν γνα τα πιο βασικά σηµεία της πρόσφατης διε- 
θνούς επιυκανρότητας. 

Γιου νόου, Τράµπ; Λεπέν; Μπρέξιτ; 

Εντάξει, τη Λεπέν δεν την εἰίδαµε ακόµα, αλλά εδώ που σας γράφω, παραμονές 
τον Vappu στην Νορβηγική Λαπωνία, σας γράφω pe το βλέμμα στο μέλλον, 

Μηδένα προ του τέλους, αγαπητοί μου. Από τη στιγµή πον καταλήζαμε συµφι- 
λνωμένον µε την ιδέα OTL περνάει η Λεπέν στο δεύτερο γύρο, δεν νομίζω πως θα 
ξεμπλέξονµε εύκολα. 

Σας το έλεγα και πιο παλιά, µε την αφορμή των Αβγών. This is not going to 
end up well. 

Τέλος πάντων. 

H εξαδέλφη exer βρεν καν ξεφυλλίζεν pra Νορβηγική εφημερίδα. Πρωτοσέλιδο 
έχεν τον Τραμπ. Δίπλα του, ένθετη φωτό, ο Κιμ Γιονγν Ουν. 

Στρέφω το βλέμμα αλλού. Τραμπ Ποιος είναι ο Ίραμπ; Νορβηγός είναι; Με 
TETOLO μαλλί Μήπως του OHE; Μήπως απ' την Βόρειο Κορέα; Oa τον θυμόμουν. 

Ta Νορβηγικά µου χρειάζονταν λίγο ξεσκόνισµα. Δεν καταλαβαίνω. Tov 
αγνοώ. 


Σνέιλ ELA 


Κουτάζω αλλού. 

Δεν τον αγνοώ καθόλου βέβανα. 

Υπό άλλας συνθήκας ναι, θα τον αγνοούσα. H το πολύ πολύ να τον σχολίαζα λίγο γνα να κάνουμε 
πλάκα: Καροτί φράντζα, ξεχειλωμένο σακάκι, περίεργος μορφασμός, τα γνωστά. 

Όμως, αγαπητοί µου, το πράγμα pe τον Τραμπ είναι πολύ σοβαρό. Δεν μιλάω µε όρους πολιτικής ἡ 
άλλης διαφωνίας. Το πρόβλημα δεν έχει να κάνει µε το τείχος που θα προστατέφει το Μεξικό ἡ µε το 
OTL ον πλούσιον θα πληρώνουν πλέον λιγότερους φόρους. Μεγάλα παυδιά. είναν εχεί στην Αμερική, αυτά 
είναν θέµατα προς συζήτηση. Θα διαφωνήσουνε, θα µαλώσουνε, θα φηφίσουνε, κάπουα άκρη θα Byer. 

Με τον Ίραμπ μιλάμε για κάτι πολύ MLO σοβαρό (και επικίνδυνο). 

θα θυμάστε ίσως τν έγινε µε την τελετή ορκωμοσίας τον. Ta υπέροχα πλήθη (not). O ενθουσιασμός. 
Καν στη μέση αυτός. Ακίνητος. Περήφανος. Βράχος. Βγαίνεν η εκπρόσωπός τον, αγαλλιασµένη. E µεγα- 
λύτερη συγκέντρωση κόσμον σε τελετή ορκωμοσίας, HAM. HAT. 

Ti λέτε καλέ κυρία; θα µας τρελάνετε; Ίρεις χι ο κούκος ήτανε, το δείχνουν καν ον φωτογραφίες. 
Δεν τις είδατε; 

E, λοιπόν ὀχν. Απλόνητη η κυρία. Απερίσπαστος Hat ο ΤΊραμπ. Ευθυτενής. Δεν έχει σημασία τι bei- 
χνουν ον φωτογραφίες σας. Δεν EXEL σημασία τν λένε τα δικά σας γεγονότα. Εμείς έχουµε άλλα γεγονό- 
τα. Δικά µας. Καλύτερα. Εναλλακτικά. Alternative. 

Με αφορμή τον ΤΊραμπ όλον πλέον έχουµε βρεθεί να μιλάμε γνα fake news, post truths, 
alternative facts. Μιλάμε καν γελάμε. 

Γελάμε, αλλά το πράγμα είναν σοβαρό. 

O Τράμπ δεν είναν ο γραφυκός του καφενείου πον λέει καν καμιά παπαριά να περάσει η ώρα. 

To πρόβλημα δεν είναι καν OTL ο Ίραμπ λέει Φέματα όπως, ξέρω γω, τόσον καν τόσον δικοί µας πολι- 
TLXOL όταν ορκίζονταν OTL οσονούπω τελενώνει η αξνολόγηση, OTL σύντομα βγαίνουµε από τα μνημόννα, 
OTL αρχίζεν η ανάπτυξη -- ἡ ότι ο Μαδούρο προστατεύει το σοσιαλιστικό ιδεώδες. Στο κάτω κάτω αυτά 
είναι υποσχέσεις, απόῴεις ἡ ερμηνείες. Δεν τρέχει και τίποτα ρε αδερφέ. 

Εδώ μιλάμε yla τον γάιδαρο. H διαφωνία pag είναν για το αν πετάει ἡ ὀχν. O Tpapn pag λέει πως 
πετάει. 

Όταν βγαίνει ο πρόεδρος µνας χώρας µε τέτοια ισχύ καν µας λέεν O,TL τον κατέβεν, χωρίς να τον 
εµποδίζεν TO OTL όλον OL υπόλονπου μπορούμε να δούμε το οφθαλµοφανές φεύδος του, τότε τα πράγµα- 
τα είναι ήδη πολύ σοβαρά. 

Ναι, κάτι τρέχεν λοιπόν. Για να µην πω OTL πετάει. 

Οπότε καθίσταται επιτακτικὀ να κάνουμε PLA παύση καν να κάτσουμε λίγο να σκεφτούμε. Πώς φτά- 
dape μέχρν εδώ; Τι κάνουμε; Ti μπορούμε να κάνουμε; Πώς μπορούμε να αμυνθούμες 

Αγαπητοί POV, όσον απὀ εσάς έχετε παρακολουθήσει τους συλλογνσμούς πον έχω κατά καιρούς EX— 
Βέσεν στις επιστολές μον, θα θυμάστε πως ένα από τα θέµατα στο οποίο τείνω να επανέρχομαι είναν το 
θέµα της αλήθειας. 

Τη θεωρία του Τάρσκι περί αλήθενας την έχουµε πλέον εµπεδώσει. Έχουμε εξετάσει το τι εἶναι αληθής 
πρόταση καν τν OXL, ἔχουμε επισηµάνεν τα εννοιολογικά προβλήματα της διαφοροποίησης γλώσσας / µε- 
ταγλώσσας, έχουµε συζητήσει γνα την απροσδιοριστία αυτονόητων, τάχα, εννονών όπως, π.χ., η έννονα 
"γεγονός", Χαν πάει λέγοντας. Έχουμε περάσει σε επόµενη πίστα. 

Όλα εκείνα που λέγαμε είχαν ως στόχο να παταδείξουν πόσο προβληµατικά είναι τα διανοητικά ερ- 
γαλεία που χρησιμοποιούμε KGL πόσο σηµαντικό εἶναι να γνωρίζουμε τα ὁριά τους. 

Όμως υπήρχε, καν συνεχίζει να υπάρχεν, ένας μεγάλος κίνδυνος. Αν είχα δίκιο σε αυτά που σας 
έγραφα, αν πράγματι δεν υπάρχουν "γεγονότα", αν τα πάντα είναν θέµα ορισμού καν οπτικής γωνίας, 
αν είναν προβληματικό το OTL η έννοια της αλήθενας δε νοείταν παρά µόνο 
σε αναφορά προς κάποιο µετα-επίπεδο (καν αυτό 
µε τη σειρά του προς κάποιο άλλο µε- 
τα-μετα-επίπεδο Χ.Ο.Μ.), αν, αν, αν -- 
τότε πώς αποφεύγουμε το σχετικισµὀ του 
"everything goes"; 

Διότι αγαπητοί µου, TO να λέεν κανείς 
πως EXEL στη διάθεσή του "alternative 
facts", αυτό σηµαίνει πως "πετάει ο Υάι- 
δαρος, πετάεν". 

Σημαίνεν πως απέναντι στον 1Ίραμπ καν 
τους φίλους του είµαστε απολύτως άοπλον 
καν ανυπεράσπιστον. 

Καν παλά η κυρία τάδε του επιτελείου 
τον. O 1ραμπ, ὅμως, έχεν το δάχτυλό του 
στο κουμπί. 


12 


OVELA μόνλ 


. VHAGKER 


Ti κάνουμε AOLTOVS 

Κατ' αρχάς διαμαρτυρόμαστε. Με κάθε δυνατό τρόπο. Oa διαβάσατε ἴσως για 
τις πορείες March for Science που διοργανώθηκαν το περασμένο Σάββατο (όχι 
χτες) σε διάφορες αμερικανικές πόλεις. Επρόκειτο γνα µια διαμαρτυρία. Αρκετά 
ηχηρῆ μάλιστα. 

Ἠχηρή, αλλά, λυπάμαν πον θα σας στεναχωρήσω, περιορνσμένης αποδοτικότη- 
τας. 

To τσουνάμι τον ανορθολογισμού τον ΤΊραμπ και των "εναλλακτυκών δεδοµέ- 
νων" του δεν αντυµετωπίζεταν µε πορείες καν κλαφονρίσματα γνα το πόσο χρήσι- 
μη είναν η επιστήμη. 

TO κακό είναν πως ον θεράποντες του ορθού λόγου είναν τόσο πεπεισμένον 
πως μιλάνε για την "αλήθεια", τόσο πεπεισμένον για την ορθότητα της προσέγγυ- 
ONG τους, ώστε τείνουν να παραβλέπουν πως η ορθότητα αυτή µπορεί να οριστεί 
(και να εννοηθεί) µόνο σε σαφώς προσδιορισµένα εννοιολογικά πλαίσια παν όχι 
ETOL γεννκώς. 

Καταλήγουν να μιλούν για τα πάντα µε αυθεντία καν ναρκισσιστική αυταρέ- 
σκεια. Στα µάτνα των θνασωτών της επιστήμης και του ορθού λόγου, αν δεν είσαν 
µαζί τους, είσαι εναντίον τους. 

Ἑλέπουν τον Τραμπ καν τους οπαδούς του καν τους περιγελούν µε περιφρόνη- 
ση. 

Όμως σε κανέναν δεν αρέσεν να τον KOLTGVE αφ' υφηλού ή να τον περυγελούν 
µε περιφρόνηση. Εντάξει, ο Ίραμπ δεν μασάει. Αλλά ον οπαδοί του το φέρουν 
βαρέως. Άλλο πράγµα το να µην καταλαβαίνεις κάτι, καν άλλο η όλη συζήτηση va 
σε κάνει να νονώθεις αμελητέος, αποζενωµένος και ανύπαρντος. 

Λόγω της αυταρέσκενας των εκπροσώπων της, το δέος και ο σεβασμός που θα 
ἦταν εύλογο να µας προκαλεί η επιστήμη μετατρέπονται σε απαξίωση. 

Αυτό που βλέπουμε σήµερα είναι η σύγχυση μεταξύ απαξίωσης καν αντισυστη- 
μισμού. 

Απέναντι στην αυταρέσκενα των επιστημονάδων που μετρούν τη χωρητικότητα 
του νου σε petabyte, σταμπάρουν τον καθένα µας ὡς φορέα της μίας ἡ της Gr— 
ANG διαταραχής, HAL μπουκώνουν μικρά παιδιά µε φυχοφάρµακα γνατί δεν yro- 
ρούν να τα κάνουν να κάτσουν ἥσυχα, πολλοί καταλήγουν στο συμπέρασμα πως η 
μόνη σον άμυνα εἶναι ο Ίραμπ καν τα εναλλακτικά του γεγονότα. 

Πώς το έλεγε ο παρ' ημίν Πρωθυπουργός (IM) όταν του λέγανε κάτι οπαδοί, 
ξέρω 'yw, πως δεν διαβάζουν εφημερίδες; "Την καλύτερη δουλειά κάνετε." Αυτό. 

Καν ὀχν µόνο ο Tpapn. Πάρτε το Μπρέξντ. Όλον ον ειδικοί ξεσπάθωσαν εναντί- 
ον του. Επιστήμονες, οικονομολόγου, οραµατυστές, μελλοντολόγον -- όλον εξή- 
γησαν, ODO πιο καθαρά μπορούσαν, πόσο καταστροφικό θα ήταν. 

Άδικα ιδρώνανε. Ίους μόνους που κατάφεραν να πείσουν ήταν τους ήδη πεπει- 
σµένους. Ον υπόλοιποι ᾠήφισαν Φάρατζ και Μπρέξιτ. 

Tov Φάρατζ! Έναν τύπο γκάου που αν τον πετύχαινες σε καμνά παφετέρια 
πριν καμνά τρνανταριά χρόνια θα καθόσουν στην άλλη άκρη yta να µην σου βγεν 
το κακό όνομα στα μωρά. 

Καν στην Αμερική φήφισαν τον 1ραμπ! Με την wapoti τον φράντζα καν τον 
προβληματικό μορφασμό. ΟΚ, και τα λεφτά XAL τη χάι KOPN. 

Καν στη Γαλλία την Λεπέν! (No further comment.) 

Όχν. Δεν γίνεται να αμυνθείς στον Ίραμπ καν τους φίλους του µε "πορείες για 
την επιστήμη" καν άλλα τέτονα ρομαντικά. 

H ανορθολογικότητα τον Ίραμπ, η αδιαφορία του για το τι civar ορθός συλ- 
λογισμός HAL σωστή επιυχειρηµατολόγηση, καθίσταταν το βασικότερό τον όπλο. 
Όσο πιο εξόφθαλµο το ᾠεύδος, τόσο πιο γοητευτικός ο λόγος του. Όσο πιο εξω- 
φρεννκός ο ισχυρισμός του, τόσο πιο ελκυστικές OL υποσχέσεις του. 

Δεν ξέρω πώς μπορείς va αμυνθείς. Δεν ξέρω καν αν μπορείς. 

Λοιπόν, έρχεται TO καράβν. Σας αφήνω. 

Άστα λονέγο κομπανιέρος. Ta λέμος. 


Σας ασπάζομαν, 
θείος Ακάκιος 


— 
DigitalOcean 


Ταχύτατα VPSes oto cloud, σε hosts µε δίσµους SSD. 
Επιβογή datacenter σε Ευρώπη, Αμεριµή μαι Ασία. 
Lean-mean control panel, για απόῆυτο έβεγχο. 


Αποητήστε τώρα το δικό oas VPS, 

oto cloud tns DigitalOcean. 

Κάντε KAIK oto http://bit.ly/digocean 1 Ooff 
Kal κερδίστε αυτομάτως 105 σε credit. 


Hint: Επιβέγοντας το µιμρό πϑάνο, 

πάντα με μῆιη στο http: //bit. ly/digocean1 Ooff, 
ουσιαστιµά έχετε δύο µήνες δωρεάν για ένα VPS 
µε 512ΜΒ RAM, 20GB SSD και 1TB transfer. 


ΜΝ Δεν είναι KI άσχημα 


Skill: Intermediate 
Tags: Nextcloud, MariaDB, HSTS, PHP, Raspberry Pi 


Nextcloud 
στο Raspberry Pi, 
amo την καλή 


Με λίγη προετοιμασία To Raspberry Pi μεταμορφώνεται σε άξιο αντικαταστάτη 
του Dropbox. Στο παρόν άρθρο δείχνουμε πώς εγκαθιστούµε και ρυθµίζουµε το 
Nextcloud, τον διάδοχο του ownCloud, στο ταπεινό αλλά ικανότατο Raspberry. 
Θα δούµε επίσης πώς ενισχύουμε την ασφάλεια αλλά και πώς βελτιώνουμε τις 
επιδόσεις της πλατφόρμας. 


Το Nextcloud (https://nextcloud.com) εἶναι σχετικά απαιτητικό σε πόρους συστή- 
ματος και μεταξύ των συσκευών Raspberry προτείνεται να το φιλοξενήσουμε στο 
νεότερο μοντέλο, δηλαδή στο Raspberry Pi 3 model B. Υποθέτουμε ότι η συσκευή 
θα τρέχει το Raspbian. Πα την εγκατάσταση και τη ρύθμιση του συγκεκριμένου λει- 
τουργικού µπορείτε να διαβάσετε το άρθρο στο hitps://deltahacker.gr/?p=16992. 
Στο Raspbian εξάλλου θα εἶναι εγκατεστημένος ο Apache, τον οποίο χρειαζόμαστε 
για την πρόσβαση στο web panel του Nextcloud. Το site που σερβίρει ο Apache καλύ- 
πτεται από δωρεάν κι ἐγκυρο πιστοποιητικό, το οποίο EXEL εκδοθεί από το εγχείρη- 
μα Let's Encrypt. Προκειμένου ν’ αποκτήσετε κι εσείς πιστοποιητικό για TO domain 
ή To subdomain σας, δείτε το αναλυτικό άρθρο στο https://deltahacker.gr/?p=1 7024. 
Στο πλαίσιο της παρουσίασής µας χρησιμοποιούμε το Subdomain ονόματι nue.colder. 
XYZ. 


Σηµείωση: Στο Raspberry Pi προτείνεται να έχουµε συνδεδεμένο κάποιο εξωτε- 
ρικό µέσο αποθήκευσης. H κάρτα SD, στην οποία κατοικοεδρεύει το Raspbian, υπό 
καμία έννοια δεν είναι κατάλληλη για χρήση από file server. Σε κάθε περίπτωση, 
µε ένα USB thumb drive ή ακόµα καλύτερα µε έναν δίσκο USB (όχι κατ’ ανάγκη 
SSD), ἔχουμε πολύ περισσότερο αποθηκευτικό χώρο και σαφώς ανεβασμένες 
επιδόσεις. 
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Nextcloud στο Raspberry Pi, απὀ την καλή 


CY) pi@nordostbahnhof: ~ — ttys000 — 381 


:~ $ df -hT 
Filesystem Type Size Used Avail Use% Mounted on 
/dev/root ext4 15G 2.0G 12G / 
devtmpfs devtmpfs 483M 483M /dev 
tmpfs tmpfs 487M 487M /dev/shm 
tmpfs tmpfs 487M A 481M /run 
tmpfs tmpfs 5.0M ὄ 5.0M /run/lock 
tmpfs tmpfs 487M 487M /sys/fs/cgroup 
/dev/mmcblkOp1 vfat 63M 43M /boot 
/dev/sdal ext4 30G 28G /mnt/storage 
[ . ¢ 
ί : /8 
proc /proc defaults 


/dev/mmcblk0p1 /boot defaults 
/dev/mmcblk0p2 / defaults ,noatime 
UUID=2c5c1lea3-fab8-451e-8084-3a058d32104a /mnt/storage defaults ,noatime 


# a swapfile is not a swap partition, no line here 
# use dphys-swapfile swap[on|off] for that 


Πα τις ανάγκες της παρουσίασής µας, στο Raspberry Pi ἔχουμε συνδέσει ένα USB thumb drive χωρητικότητας 32GB. H 
αντίστοιχη κατάτµηση είναι προσαρτηµένη Κάτω από το /mnt/storage κι εκεί, λίγο αργότερα, θα μεταφέρουμε το data 
directory του Nextcloud. Στο δε /etc/fstab έχουµε προσθέσει µία κατάλληλη γραμμή ώστε η κατάτµηση Tou thumb drive, την 
οποία υποδεικνύουµε µε βάση To UUID της, να προσαρτάται αυτόματα κατά την εκκίνηση του λειτουργικού. 


Εγκατάσταση PHP5 και MariaDB 


To Nextcloud χρειάζεται τη σκριπτογλὠσσα PHP καθώς και µία βάση δεδομένων. 
Σε διάφορες εγκαταστάσεις θα δείτε ότι το ρόλο συστήµατος διαχείρισης βάσεων 
τον έχει η SQLite. Δεν αποτελεί την καλύτερη επιλογή όσον αφορά στις επιδόσεις, 
οπότε εμείς θα στραφούμε στη MariaDB. Προχωράµε αμέσως στην εγκατάσταση 
όλων των σχετικών πακέτων: 


pi@nordostbahnhof:~ $ 
pi@nordostbahnhof :~ $ 


H MariaDB αναπτύσσεται από την κοινότητα Ανοικτού/Ελεύθερου Λογισμικού και 
εἶναι fork TNS γνωστής MySQL, η οποία απὀ το 2010 ανήκει στην Oracle. Θα παρατη- 
ρήσετε ότι παρά την επιλογή µας, ορισμένα πακέτα περιλαμβάνουν το όνομα της 
MySQL (π.χ., php5-mysq]). Το ίδιο ισχύει και µε κάποια εργαλεία κι εντολές που θα 
χρησιμοποιήσουμε σε πολύ λίγο (π.χ. mysql, mysql_secure_installation K.á.). Το yeyo- 
VOC αυτό δεν πρέπει να µας προκαλεί εντύπωση, αφού η MariaDB έχει σχεδιαστεί 
ως drop-in replacement της MySQL. 
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VHAGKER 


pi@nordostbahnhof: ~ — ttys000 — 381 


l Configuring mariadb-server-10.0 ,- A 
While not mandatory, it is highly recommended that you set a password for the MariaDB administrative 
"root" user. 


If this field is left blank, the password will not be changed. 


New password for the MariaDB "root" user: 


Κατά την εγκατάσταση της MariaDB μάς ζητείται να opiooupe ένα συνθηματικό για τον χρήστη root. Προσοχή: Μιλάμε για 
τον root της MariaDB -- η συνωνυμµία µε τον root του λειτουργικού συστήµατος είναι εντελώς συμπτωματική. 


Αμέσως µετά την εγκατάσταση της MariaDB εἶναι καλό να φροντίσουμε για ορισµέ- 
veç ρυθμίσεις που αφορούν στην ασφάλεια. Καταφεύγουµε στο εργαλείο mysql 
secure_installation, το οποίο τρέχουμε µε δικαιώµατα διαχειριστή συστήματος: 


pi@nordostbahnhof:~ $ 


Θα µας απευθυνθούν µια σειρά από ερωτήσεις. Εκτός ίσως από την πρώτη, η οποία 
αφορά στον καθορισμό password για τον root της MariaDB, σε όλες τις υπόλοιπες 
ερωτήσεις προτείνεται ν' αφήνουμε την προεπιλεγμένη απάντηση. 
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pi@nordostbahnhof: ~ — ttysO00 — 881 


m$ 


NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB 
SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY! 


In order to log into MariaDB to secure it, we'll need the current 
password for the root user. If you've just installed MariaDB, and 
you haven't set the root password yet, the password will be blank, 
so you should just press enter here. 


[Enter current password for root (enter for none): 
0K, successfully used password, moving on... 


Setting the root password ensures that nobody can log into the MariaDB 
root user without the proper authorisation. 


You already have a root password set, so you can safely answer 'n 


[Change the root password? [Y/n] nee 


skipping. 


By default, a MariaDB installation has an anonymous user, allowing anyone 
to log into MariaDB without having to have a user account created for 
them. This is intended only for testing, and to make the installation 
go a bit smoother. You should remove them before moving into a 
production environment. 


Remove anonymous users? [Y/n] y e17 


Κατά την εγκατάσταση της MariaDB είχαμε ορίσει password για Tov root, οπότε δεν χρειάζεται να το κάνουμε τώρα. 
Συμφωνούμε, όµως, µε τη διαγραφή του λογαριασμού του ανώνυμου χρήστη. 


pi@nordostbahnhof: ~ — ttys000 — 361 


Normally, root should only be allowed to connect from ‘localhost’. This 
ensures that someone cannot guess at the root password from the network. 


Disallow root login remotely? [Y/n] y1 


Success! 


By default, MariaDB comes with a database named 'test' that anyone can 
access. This is also intended only for testing, and should be removed 
before moving into a production environment. 


[Remove test database and access to it? [Y/n] piee 


- Dropping test database... 
Success! 

- Removing privileges on test database... 
Success! 


Reloading the privilege tables will ensure that all changes made so far 
will take effect immediately. 


[Reload privilege tables now? [Y/n] y αγ 


Success! 
Cleaning up... 


All done! If you've completed all of the above steps, your MariaDB 
installation should now be secure. 


Thanks for using MariaDB! 


Hoot] 


Για λόγους ασφαλείας απαγορεύουµε τις απομακρυσμένες συνδέσεις στο λογαριασμό root της MariaDB, ενώ διαγράφουµε 
και τη δοκιμαστική βάση δεδομένων µε όνοµα ‘test’. 
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Δημιουργία βάσης και χρήστη στη MariaDB 


θα φτιάξουμε τώρα µία νέα βάση δεδοµένων για τη MariaDB, την οποία θα χρησιµο- 
ποιεί το Nextcloud. H βάση από μόνη της δεν αρκεί, χρειάζεται κι ένας λογαριασμός 
χρήστη -της MariaDB- µε πλήρη δικαιώματα επί της βάσεως. Αυτόν το λογαριασμό, 
ουσιαστικά, θα χρησιμοποιεί TO Nextcloud, ώστε va EXEL πρόσβαση στη βάση. Na- 
ραθέτουµε τις εντολές για τη δηµιουργία της νέας βάσης, του νέου λογαριασμού, 
καθώς και της απόδοσης των σχετικών δικαιωμάτων πρόσβασης: 


pi@nordostbahnhof:~ $ 
MariaDB [(none) ]> 
MariaDB [(none) ]> 


MariaDB [(none) ]> 


MariaDB [(none) ]> 
MariaDB [(none) ]> 


Το óvopa TNG νέας βάσης είναι nxtcloud_db, To όνοµα Tou νέου χρήστη είναι nxtcloud_ 
db_user, το δε password του είναι το nxtcloud_db_user_passwd. Καταλαβαίνετε 
τώρα ότι στο σηµείο αυτό είμαστε υποχρεωμένοι να υπογραμµίσουµε OTL για TOV 
Ἀδικό σας” χρήστη, όπως κι αν τον ονομάσετε, θα πρέπει να ορίσετε διαφορετικό 
password. Προσέξτε: Ούτε για µια στιγµή δεν πέρασε ató το μυαλό µας η ιδέα πως 
δεν θα ορίζατε διαφορετικό password για τον χρήστη σας. Απλά, αισθανόμαστε υπο- 
χρεωμένοι να κάνουμε τη σχετική παρατήρηση. Και τώρα που την κάναμε, η ιδέα 
που προηγουμένως δεν επρόκειτο να περάσει καν από το μυαλό μας, ε, πέρασε ήδη. 
999 
[ :~ $ mysql -u root -p 

[Enter password: 

Welcome to the MariaDB monitor. Commands end with ; or \g. 


Your MariaDB connection id is 48 
Server version: 10.0.28-MariaDB-0+deb8ul (Raspbian) 


pi@nordostbahnhof: ~ — ttys000 — 381 


Copyright (c) 2000, 2016, Oracle, MariaDB Corporation Ab and others. 
Type ‘help;' or '\h' for help. Type '\c' to clear the current input statement. 


[MariaDB [(none)]> CREATE DATABASE nxtcloud db; 
Query OK, 1 row affected (0.00 sec) 


[MariaDB [(none)]> CREATE USER 'nxtcloud_db_use ocë E a] iis i where we type tne password tor nxtcloud abuser [ER 
Query OK, 0 rows affected (0.01 sec) 


[MariaDB [(none)]> GRANT ALL PRIVILEGES ON nxtcloud db.* TO 'nxtcloud db use 
Query OK, 0 rows affected (0.00 sec) 


[MariaDB [(none)]> FLUSH PRIVILEGES; 
Query OK, 0 rows affected (0.00 sec) 


[MariaDB [(none)]> quit 

Bye 

Δημιουργία νέας βάσης δεδοµένων και χρήστη της MariaDB, για τις ανάγκες του Nextcloud. 
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Λήψη κι εγκατάσταση Tou Nextcloud 
Πηγαίνουμε στο 
https://download.nextcloud.com/server/releases 


και ψάχνουμε για την πλέον πρόσφατη έκδοση του Nextcloud. Τη στιγμή που γράφο- 
νται αυτές OL γραμμές, η νεότερη έκδοση είναι η 11.0.0. Την κατεβάζουµε στο RasPi 
µε τη βοήθεια του εργαλείου wget: 


pi@nordostbahnhof:~ $ mkdir incoming && cd incoming 


pi@nordostbahnhof :~/incoming $ wget https://download.nextcloud.com/server/ 
releases/nextcloud-11.0.0.zip 


Αποσυμπιέζουµε το αρχείο ZIP µε το εργαλείο unzip: 
pi@nordostbahnhof :~/incoming $ unzip nextcloud-11.0.0.zip 
Θα δημιουργηθεί ο κατάλογος nextcloud... 


pi@nordostbahnhof :~/incoming $ ls -lh 

total 48M 

drwxr-xr-x 14 pi pi 4.0K Dec 13 13:25 nextcloud 

-rw-r--r-- 1 pi pi 48M Dec 13 14:34 nextcloud-11.0.0.zip 


..TOV οποίο πρέπει να μεταφέρουμε στο /var/www/html, δηλαδή στο προκαθορισµέ- 
νο DocumentRoot του Apache στο Raspbian: 


pi@nordostbahnhof :~/incoming $ sudo mv nextcloud /var/www/html 


Κατ’ αυτόν τον τρόπο, στο web panel του Nextcloud θα φτάνουμε πληκτρολογώντας 
τη διεύθυνση 


https://nue.colder.xyz/nextcloud 


(στη θέση του nue.colder.xyz θα βάζετε TO δικό σας (Sub)domain). Αν τώρα θέλετε 
να μην: πληκτρολογείτε το /nextcloud' στο URL, τότε αντί να μεταφέρετε τον κα- 
τάλογο nextcloud κάτω amo το /var/www/html θα μεταφέρετε το περιεχόμενο” TOU 
nextcloud κάτω από το /var/www/html. 


Φτιάχνουμε τώρα TO data directory Tou Nextcloud, δηλαδή τον κατάλογο εντός 
του οποίου αποθηκεύονται όλα τα αρχεία που ανεβάζουµε στο RasPi και διαχει- 
ρίζεται η πλατφόρμα. H προκαθορισμένη θέση για το data directory είναι η /var/ 
www/html/nextcloud, γεγονός που για την περίπτωσή µας σημαίνει ότι το data θα 
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βρίσκεται πάνω στην κάρτα SD. Δεν πρόκειται για την καλύτερη δυνατή θέση, τόσο 
για λόγους επιδόσεων OOO και ασφαλείας. Προς το παρόν όµως ας δημιουργήσουμε 
το data στην προκαθορισμένη θέση και λίγο αργότερα το μεταφέρουμε αλλού: 


pi@nordostbahnhof :~/incoming $ sudo mkdir /var/www/html/nextcloud/data 
O κατάλογος πρέπει να ανήκει στο χρήστη και στην ομάδα www-data: 


pi@nordostbahnhof :~/incoming $ sudo chown wwz-data:ww-data /var/www/html/ 
nextcloud/data 


Φροντίζουμε και για Ta δικαιώµατα πρόσβασης: 
pi@nordostbahnhof :~/incoming $ sudo chmod 750 /var/www/html/nextcloud/data 


Πριν προχωρήσουμε στη ρύθμιση του Nextcloud, αλλάζουμε TO ιδιοκτησια- 
κό καθεστώς των καταλόγων config και apps, κάτω από τον κατάλογο /var/ 
www/html/nextcloud: 


pi@nordostbahnhof :~/incoming $ cd /var/www/html/nextcloud 


pi@nordostbahnhof :/var/www/html/nextcloud $ sudo chown ww-data:ww-data config 
apps 


Πρώτη ρύθμιση Nextcloud 


Στη μπάρα διευθύνσεων του web browser της προτίμησής µας, πληκτρολογούμε τη 
διεύθυνση 


https://nue.colder.xyz/nextcloud 
Στη σελίδα που εμφανίζεται συμπληρώνουµε τα ακόλουθα στοιχεία: 


* username και password για το νέο χρήστη του Nextcloud (πρόκειται για λογα- 
ριασμὀ µε δικαιώµατα διαχειριστή και η δηµιουργία του είναι υποχρεωτική) 


"την πλήρη διαδρομή του καταλόγου data (π.χ., /var/www/html/nextcloud/data) 


* TO username του χρήστη της MariaDB, ο οποίος έχει πλήρη δικαιώµατα στη 
βάση που φτιάξαμε για το Nextcloud 


* TO password του προαναφερθέντος χρήστη 
* TO όνοµα της βάσης της MariaDB, που δημιουργήσαμε για το Nextcloud 
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Επικυρώνουµε µε éva κλικ στο κουμπί Finish setup, στο κάτω µέρος της σελίδας. Av 
όλα έχουν πάει καλά, αντικρίζουµε τώρατη σελίδα καλωσορίσµατος του Nextcloud. 
Υπάρχουν κάποιες προτάσεις yta clients διαφόρων λειτουργικών συστημάτων, WOTE 
να συγχρονίζουµε εύκολα αρχεία και καταλόγους µε το Nextcloud. Προς το παρόν 
κλείνουμε TO POP-UP HE τις προτάσεις. Ούτως ή άλλως, ανά πάσα στιγµή μπορούμε 
να TO εµφανίσουµε και πάλι. 


ΤΕ D -© ο ο 5 © 4 5 Ηαρχικήρύθμιση του 
i Nextcloud περιλαμβάνει 

τη δηµιουργία ενός 
λογαριασμού χρήστη για την 
πλατφόρμα µε δικαιώματα 
διαχειριστή, την υπόδειξη 
ο ου της θέσης του data directory, 

swori Γ΄. τον καθορισμό της βάσης 
δεδοµένων που φτιάξαμε για 
το Nextcloud -- βεβαίως και 
τον καθορισμό του χρήστη µε 
δικαιώµατα διαχειριστή επί 


της βάσης. 


subZraw 


nxtcloud_db 


localhost 


© & nue.colder:xyz/nextcloud/index.php/apps/files/?dir=/&fileid=2 © o ἡ ο Ησελίδα καλωσορίσµατος 

του Nextcloud, μετά την 

επιτυχή εγκατάσταση 

και τις πρώτες βασικές 
Μπορούμενα ρυθμίσεις. Πριν αρχίσουμε 
εμφανίσουμε το να χρησιμοποιούμε την 

ών ΕΗ πλατφόρμα, μένουν μερικές 

ακόµα διευθετήσεις που 
οφείλουμε να κάνουμε. 


999 < ΠΙ 


Get the apps to sync your files 


pi ANDROID APP ON ο Bawaléad Enke 
πμ | P> Google Play | @& App Store 


Connect your desktop apps to Nextcloud 


tnt 
[πα (ο r Calendar QZ Connect your Contacts I Acces 


There's more information in the documentation and on our website 
if you like Nextcloud, recommend it to your friends and contr 
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Ενίσχυση της ασφάλειας 


Έχοντας συνδεθεί στο λογαριασμό του χρήστη µας στο Nextcloud από το web panel 
της πλατφόρμας, κάνουμε κλικ στο username πάνω δεξιά κι από το μενού που εμ- 
φανίζεται επιλέγουμε το Admin. Στο πάνω µέρος της νέας σελίδας που φορτώνει 
υπάρχουν τρεις προειδοποιήσεις — ή τουλάχιστον τόσες ήταν στη δική µας πε- 
ρίπτωση. Οι δύο πρώτες αφορούν στην ασφάλεια και η τρίτη στις επιδόσεις του 
Nextcloud. Στη συνέχεια θα φροντίσουμε ώστε ὀλες τους να εξαφανιστούν. 


999 < oO eel © @ nue.colder.xyz/nextcloud/index.php/settings/admin © o fil oe 
--------.. ee aa 


Server settings 
Security & setup warnings 

Server info 

© Your data directory and your files are probably accessible from the Internet. The .htaccess file is not working. We strongly suggest that you 

Sharing configure your web server in a way that the data directory is no longer accessible or you move the data directory outside the web server document 
root. 

Theming © The "Strict-Transport-Security" HTTP header is not configured to at least "15552000" seconds. For enhanced security we recommend enabling 
HSTS as described in our security tips. 

Encryption e ΝΟ memory cache has been configured. To enhance your performance please configure a memcache if available. Further information can be 
found in our documentation. 

Workflow 


Please double check the installation guides 7, and check for any errors or warnings in the log. 
Usage survey 


Logging 


Cron @ Last cron job execution: seconds ago. i 
Additional settings 


@ AA 

Tips & tricks ecute one task with each page loade 
O Webcron 
cron.php is registered at a webcron service to call cron.php every 15 minutes over http. 
O Cron 


em's cron service to ca ron.php file every 15 minutes. The cron.php needs to be executed by the system user "www-data" 


Version 
Nextcloud 11.0.0 (stable) 
Your version is up to date. i 


Update channel: stable z 


an always update to a newer version / experimental channel. But you can never downgrade to a more stable channe! 


Προειδοποιήσεις περί ασφάλειας κι επιδόσεων της εγκατάστασης του Nextcloud που μόλις πραγματοποιήσαμε. Δεν πρέπει 
va τις αγνοήσουµε - ειδικά εκείνες που αφορούν στην ασφάλεια. 


Νομίζουµε ότι η πρώτη προειδοποίηση είναι σαφής: To data directory του Nextcloud 
δεν πρέπει να βρίσκεται κάτω από το DocumentRoot του Apache. Προς το παρόν ei- 
ναι µέσα στο /var/www/html/nextcloud, ápa εκεί που δεν πρέπει να βρίσκεται :) Από 
τη μεριά µας φτιάξαμε τον κατάλογο nextcloud κάτω απὀ To /mnt/storage και µε- 
ταφέραμε το data εκεί. Στο /mnt/storage είναι προσαρτηµένο ένα USB thumb drive, 
οπότε μεταφέροντας τον κατάλογο data κερδίσαµε τόσο σε ασφάλεια όσο και σε 
επιδόσεις: 


22 


Nextcloud στο Raspberry Pi, από την καλή 


pi@nordostbahnhof:~ $ sudo mkdir /mnt/storage/nextcloud 


pi@nordostbahnhof:~ $ sudo mv /var/www/html/nextcloud/data /mnt/storage/ 
nextcloud/ 


Μετά τη µεταφορά του καταλόγου data πρέπει, φυσικά, να ενημερώσουμε σχετικά 
και το Nextcloud. Αρκεί να τροποποιήσουµε την τιµή της παραμέτρου datadirectory, 
στο αρχείο ρυθµίσεων config.php κάτω από το /var/www/html/nextcloud/config. 
Πριν κάνουμε την αλλαγή µας, εἶναι καλή ιδέα να κρατήσουμε ένα αντίγραφο του 
config.php. Δείτε: 


pi@nordostbahnhof:~ $ cd /var/www/html/nextcloud/config 


pi@nordostbahnhof :/var/www/html/nextcloud/config $ sudo ερ -p config.php config. 
php . ORIG 


pi@nordostbahnhof :/var/www/html/nextcloud/config $ sudo vi config.php 


Στο παράδειγμά µας ανοίγουμε το config.php µε το vi, εννοείται όµως ότι µπορείτε 
να το ανοίξετε µε έναν οποιονδήποτε άλλο text editor (π.χ., µε TO Nano). Όπως Kal va 
χει, εντοπίζουµε τη γραμμή 


‘datadirectory' => '/var/www/html/nextcloud/data', 
και την αλλάζουμε σε 
‘datadirectory' => '/mnt/storage/nextcloud/data', 


Προσοχή χρειάζεται µε το κόμμα, το οποίο δεν πρέπει να διαγράψουμε! Αποθηκεύ- 
ουμετις αλλαγές στο config.php κι εγκαταλείπουµε τον editor. Κάνοντας reload στη 
σελίδα του Nextcloud µε τις προειδοποιήσεις, διαπιστώνουμε OTL εκείνη περί της 
θέσης του καταλόγου data δεν υπάρχει πια. Καλό αυτό. 


Στρέφουµε τώρα την προσοχή µας στην άλλη προειδοποίηση ασφαλείας, σχετικά 
ue To HSTS. Θέτοντας την κατάλληλη τιμή στο HTTP Strict Transport Security header, 
διασφαλίζουµε ότι στους clients του Nextcloud δεν θα επιτρέπονται απλές συνδέ- 
σεις HTTP. Προσέξτε: O Apache µας είναι έτσι ρυθµισµένος WOTE να ανακατευθύνει 
τις συνδέσεις HTTP σε συνδέσεις HTTPS. Χωρίς όµως το Strict Transport Security 
header, η υλοποίηση επιθέσεων Man-in-The-Middle είναι εφικτή. Πα το HSTS, µε δι- 
καιώματα διαχειριστή ανοίγουμε το αρχείο /etc/apache2/sites-available/000-default- 
le-ssl.conf... 


pi@nordostbahnhof :~ $ sudo vi /etc/apache2/sites-available/000-default-le-ssl. 
conf 
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και στο τέλος της ενότητας <VirtualHost *:443> ... </VirtualHost> προσθέτουμε τις 
ακόλουθες τρεις γραμμές: 


<IfModule mod_headers.c> 


Header always set Strict-Transport-Security "max-age=15552000; 
includeSubDomains; preload" 


</IfModule> 


Αποθηκεύουμε τις αλλαγές στο 000-default-le-ssl.conf, εγκαταλείπουµε τον editor, 
φορτώνουμε το Module του Apache ονόματι headers... 


pi@nordostbahnhof:~ $ sudo a2enmod headers 
.. KL επανεκκινούµε τον Apache: 


pi@nordostbahnhof:~ $ sudo systemctl restart apache2.service 


90606 < ΠΠ - Ὁ 8 nue.colder.xyz/nextcloud/index.php/settings/admin © (+) fy a 


Server settings 

Security & setup warnings 
Server info 

© No memory cache has been configured. To enhance your performance please configure a memcache if available. Further information can be 
j found in our documentation. 

Sharing 

Please double check the installation guides 7, and check for any errors or warnings in the log. 
Theming 
Encryption 
Workflow Cron @ Last cron job execution: 3 minutes ago. i 

98) ΑΙΑΧ 
Usage survey 

xecute one task with each page loaded 

O Webcron 
Logging cron.php is registered at a webct om 

O Cron 
Additional settings Jse system's cron service to call the cron.php file every 15 min The cron.php needs to be executed by the system user "www-data' 
Tips & tricks 

Version 


Nextcloud 11.0.0 (stable) 


Your version is uptodate. i 


Update channel: stable = 


Notify members of the following groups about available updates: admin 


Οι δύο ειδοποιήσεις περί θεμάτων ασφαλείας έχουν εξαφανιστεί κι αυτή τη στιγµή έχουµε µόνο µία, η οποία αφορά στις 
επιδόσεις της πλατφόρμας. 
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Me refresh στη σελίδα Admin του Nextcloud διαπιστώνουμε ότι η προειδοποίηση για 
τΟΗΘΤ6έχειεξαφανιστεί.Ως ἐξτραμπόνους, κάνοντας στο https://www.ssllabs.com 
το SSL test για To site Tou Nextcloud (για εμάς εἰναι το https://nue.colder.xyz), η τελι- 
κή βαθμολογία που παίρνουμε δεν εἶναι απλά Α αλλά Αγ 


Βελτίωση επιδόσεων και συμπεριφορά της ΡΗΡ 


Προς το παρόν δεν υπάρχει κάποιος μηχανισμός Memory caching ενεργοποιηµένος 
για το Nextcloud — κι αυτό έχει αρνητική επίδραση στις επιδόσεις της πλατφόρμας. 
Σε λίγο θα ενεργοποιήσουµε το σύστημα memory caching ονόματι APCu (κατάλληλο 
για την ΡΗΡΒ που χρησιμοποιούμε), έτσι τα αντικείμενα που ζητούνται συχνά από 
τους clients θα διατηρούνται στη μνήμη του RasPi και συνεπώς η πρόσβαση σ αυτά 
θα γίνεται πολύ γρηγορότερα. Ξεκινάμε εγκαθιστώντας το πακέτο php5-apcu... 


pi@nordostbahnhof:~ $ sudo apt-get install php5-apcu 
κι αμέσως µετά επανεκκινούµε τον Apache: 


pi@nordostbahnhof:~ $ sudo systemctl restart apache2.service 


999 < [18] eel Ὁ Ὁ www.ssllabs.com/ssitest/analyze.html?d=nue.colder.xyz © o ii a 


5 Home Projects Qualys.com Contact 
@ Quatys' SSL LABS 
You are here: Home > Projects > SSL Server Test > nue.colder.xyz 
SSL Report: nue.colder.xyz (79.240.18.93) 
Assessed on: Fri, 30 Dec 2016 19:50:11 UTC | Hide | Clear cache Scan Another » 
Summary 
Overall Rating 


Visit our documentation page for more information, configuration guides, and books. Known issues are documented here. 


Χάρη στο HTTP Strict Transport Security header που θέσαμε για To site του Nextcloud, τους ελέγχους Tou SSL Labs τους 
περνάμε µε βαθμολογία At’. Θυμόσαστε τη βαθμολογία που είχαµε πάρει µετά την εφαρµογή των οδηγιών του άρθρου Ὁ 
Apache στο Raspberry Pi, µε έγκυρο πιστοποιητικό; Ήταν Α’ σκέτο :/ 
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Me Tov text editor της επιλογής µας και δικαιώµατα διαχειριστή (sudo), ανοίγουμε TO 
αρχείο /var/www/html/nextcloud/config/config.php. Σε µιανέα γραμμή πάνω από την 
τελευταία παρένθεση, εισάγουµε την ακόλουθη οδηγία: 


"memcache.local' => '\OC\Memcache\APCu' , 


(προσοχή, το κόμμα χρειάζεται). Αποθηκεύουμε την αλλαγή στο config.php κι εγκα- 
ταλείπουµε τον editor. Επιστρέφοντας στον web browser, φρεσκάρουµε τη σελίδα 
Admin του Nextcloud. Av όλα έχουν πάει καλά τότε η προειδοποίηση περί Memory 
caching θα έχει εξαφανιστεί. Λογικά, δεν θα υπάρχει καμία προειδοποίηση. 


999 < oO ol © Ὁ nue.colder.xyz/nextcloud/index.php/settings/admin è oĉ op 


Server settings 


Server info 
Sharing 
Theming 


Cron @ Last cron job execution: seconds ago. { 


Encryption 


Workflow 
cron.php is registered at a webcron service to call cron.php every 15 minutes over http 


O Cron 


Jse system's cron service to call the cron.php file every 15 minutes. The cron.php needs to be executed by the system user "www-data 


Usage survey 


Logging 


Additional settings 
Tips & tricks Version 


Nextcloud@NUE 11.0.0 (stable) 


Your version is uptodate. i 
Update channel: stable k 


date to a newer version / experimental channel. But sn never downgrade to a more stable channe! 


Notify members of the following groups about available updates: | admin 


Developed by the Nextcloud community, the source code is licensed under the AGPL. 


ΘΘΘΘΟΘ 


Μετά τις παρεμβάσεις µας, στη σελίδα Admin του Nextcloud δεν υπάρχει καμία προειδοποίηση. Όχι µόνο αυτό, αλλά 
παίρνουμε κι αυτό το ευχάριστο μήνυμα για όλους εκείνους τους ελέγχους που έγιναν επιτυχώς κι αυτή τη στιγµή η ζωή 
δύσκολα θα μπορούσε να "ναι πιο ωραία. 


Προτάσεις για τη συνέχεια 


O καλύτερος τρόπος για να στέλνουµε αρχεία στο Nextcloud καθώς και για να τα 
συγχρονίζουμε (επιλεκτικά) μεταξύ των συσκευών µας, εἶναι µε τη βοήθεια του 
κατάλληλου client για το εκάστοτε λειτουργικό σύστημα. Αν κάνουμε κλικ στο 
όνοµα του χρήστη µας (πάνω δεξιά), από το μενού που εμφανίζεται διαλέξουµε το 


26 


Nextcloud oto Raspberry Pi, από την καλή 


Personal, στην οριζόντια μπάρα αριστερά πατήσουµε στο Sync clients και κάνουμε 
κι ένα τελευταίο κλικ στο κουμπί Show First Run Wizard again (δεξιά), εµφανίζεται 
τότε éva pop-up για επιλογή client: είναι αυτό που είχαμε δει αµέσως µετά την επι- 
τυχή ρύθμιση του Nextcloud. 


Στις δικές σας συσκευές προτείνουμε να κατεβάσετε και να εγκαταστήσετε TOV 
κατάλληλο Nextcloud client. Όσοι χρησιµοποιείτε Dropbox θα διαπιστώσετε ότι σε 
γενικές γραμμές ακολουθείται η ίδια λογική: υποδεικνύουµε έναν τοπικό κατάλογο, 
τα περιεχόμενα του οποίου συγχρονίζονται αυτόματα µε τον ἴδιο κατάλογο στον 
server. Φυσικά, σε κάθε συσκευή μπορούμε να υποδεικνύουµε υποκαταλόγους οι 
οποίοι ναι pev βρίσκονται στον Server, αλλά δεν συγχρονίζονται µε TOV συγκεκριµέ- 
vo client. 


Θα υπάρξουν βέβαια και οι περιπτώσεις όπου θα χρειάζεται ν΄ ανεβάσουµε στο 
Nextcloud éva ή περισσότερα αρχεία, όµως στον υπολογιστή από τον οποίο εργαζό- 
μαστε αφενός δεν θα υπάρχει client, αφετέρου Sev θα θέλουμε ή/και δεν θα μπορού- 
μενα εγκαταστήσουµε έναν. Κανένα πρόβλημα: Ανά πάσα στιγµή μπορούμε ν' ανεβά- 
ζουμε αρχεία µέσω του web browser (αφού φυσικά συνδεθούµε στο λογαριασμό µας 
στο Nextcloud). Ουσιαστικά, το uploading το αναλαμβάνει η PHP. Έτσι όπως είναι το 
σχετικό αρχείο ρυθμίσεων, υπάρχει ένα όριο στο μέγεθος των αρχείων που ανεβά- 
ζουμε κι αυτό το όριο είναι Ta 2MB. Πιθανώς να το βρείτε κάπως περιοριστικό, οπό- 
τε θα θελήσετε va TO αλλάξετε. Προς τούτο, µε δικαιώµατα διαχειριστή ανοίγουμε 
το αρχείο /etc/php5/apache2/php.ini, εντοπίζουµε τις ακόλουθες δύο γραμμές 


post_max_size = 8M 
upload_max_filesize = 2M 


(δεν είναι pagi) κι αλλάζουμε τις τιµές για τις δύο παραμέτρους. Πα παράδειγµα, 
στο δικό µας php.ini ισχύει: 


post_max_size = 16M 
upload_max_filesize = 16M 


Αυτή τη στιγµή η εγκατάσταση του Nextcloud στο Raspberry Pi εἶναι πανέτοιµη! 
Υπάρχουν αρκετά που θέλουμε να δείξουμε αναφορικά µε τη συγκεκριμένη πλατ- 
φόρμα, ενώ υπάρχουν και κάποιες γενικές στρατηγικές backup που έχουµε κατά 
νου και θα θέλαμε να συζητήσουμε. Το επόμενο διάστηµα θα επανερχόµαστε µε 
tips, tricks, καθώς και πλήρη άρθρα. Έως τότε, εξερευνήστε τις δυνατότητες του 
Nextcloud και χαρείτε το σε καθημερινή βάση. 
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Skill: Intermediate 
Tags: openSUSE, Apache, virtual hosts, Let's Encrypt 


Apache, virtual hosts 


και πιστοποιητικό απὀ 


Let's Encrypt 


Αναλυτικά και βήμα προς Bpa δείχνουμε πώς εγκαθιστούµε και ρυθµίζουµε τον 
Apache web server σε ένα VPS µε openSUSE, καθώς και πώς αποκτάµε έγκυρα 


πιστοποιητικά SSL για Ta virtual hosts Tou Apache. 


Την όλη διαδικασία έχουµε παρουσιάσει για Eva Raspberry Pi µε Raspbian, To οποίο 
δεν έχουµε στο cloud αλλά στο σπίτι µας (hitps://deltahacker.gr/?p=17024). Αυτή 
τη φορά στρέφουµε την προσοχή µας σε έναν server στο cloud, ο οποίος τρέχει 
openSUSE Leap 42.2. Αν και η γενική λογική που ακολουθείται εἶναι παρόμοια µε 
την περίπτωση του Raspbian, οι λεπτομέρειες της υλοποίησης διαφέρουν αρκετά 
και συνεπώς το παρόν άρθρο κρίνεται απαραίτητο. Πριν ξεκινήσουμε, ας δούμε τη 
λίστα µε τα προαπαιτούμενα. 
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* Χρειαζόμαστε éva VPS στο cloud που τρέχει openSUSE Leap 42.2. Αν sí- 


στε στην αναζήτηση για Eva τέτοιο VPS, ίσως αξίζει va δείτε την περίπτω- 
ση της γερμανικής Hetzner (βλ., π.χ., https://deltahacker.gr/?p=16962 και 
https://deltahacker.gr/?p=17003). 


* Στη γραμμή εντολών του VPS έχουµε απομακρυσμένη πρόσβαση µέσω SSH, 


είτε απευθείας στο λογαριασμό του root είτε σε λογαριασμό άλλου χρήστη 
που έχει δυνατότητα εκτέλεσης εντολών ως root (π.χ., µε τη βοήθεια του 
sudo). 


e Διαθέτουμε το δικό µας domain name, καθώς Kal πρόσβαση στον name 


server που το φιλοξενεί. Σ' αυτόν, υπάρχει ένα A record που αντιστοιχίζει το 
domain ή κάποιο subdomain του domain στο (δημόσιο) ΙΡ Tou VPS. Το domain 
που χρησιμοποιήσαμε γιατις ανάγκες της παρουσίασης είναι το colder.xyz και, 
πιο συγκεκριµένα, στον DNS server υπάρχει ένα A record που αντιστοιχίζει το 
vatnajokull.colder.xyz στο δημόσιο ΙΡ του VPS µε το OpenSUSE. Παρεμπιπτό- 
ντως, ιδού ένας τρόπος για να μαθαίνουμε το δημόσιο IP του VPS µας: 


Apache, virtual hosts και πιστοποιητικό απὀ Let's Encrypt 


sub0@vatnajokull:~> dig +short myip.opendns.com @resolver1.opendns.com 


* Τα ports 80/TCP και 443/TCP του firewall πρέπει va είναι ανοικτά. Μετά την 
εγκατάσταση του Apache θα καταφύγουμε στο σχετικό Module του YaST, ώστε 
ν' ανοίξουμε τα προαναφερθέντα ports. 


* To openSUSE Leap πρέπει να εἰναι ενημερωμένο: 


sub0@vatnajokull:~> sudo zypper ref 
sub0@vatnajokull:~> sudo zypper lu 
sub0@vatnajokull:~> sudo zypper patch 


Στην περίπτωση που υπάρχει AVABABULON για το ἰδιο το zypper, θα εμφανιστεί 
σχετικό μήνυμα και την εντολή sudo zypper patch θα τη δώσουμε ξανά. Επί- 
σης, αν αναβαθμιστεί ο πυρήνας τότε θα χρειαστεί και µια επανεκκίνηση του 
συστήµατος (sudo reboot). 


* Προαιρετικό: Av ο provider παρέχει τη δυνατότητα για λήψη snapshots, καλό 
είναι να δημιουργήσουμε ένα πριν πιάσουµε δουλειά. Έτσι, ακόµη κι αν KÁVOU- 
UE σειρά από λάθη και μπερδευτούμε, ανά πάσα στιγµή θα μπορούμε να yupi- 
σουµετο VPS σε µια πρότερη καλή κατάσταση. 


Εγκατάσταση Apache 


Πα λόγους ασφαλείας δεν επιτρέπουµε στο VPS µας το SSH login στο λογαριασμό 
του root. Έχουμε βεβαίως éva λογαριασμό απλού χρήστη, ο οποίος έχει δυνατότητα 
για εκτέλεση εντολών διαχειριστή µέσω του εργαλείου sudo. Για ακόµη περισσότε- 
on ευκολία, θα μεταβούμε τώρα στο λογαριασμό του root ώστε να εργαστούμε από 
εκεί: 


sub0@vatnajokull:~> sudo su 


vatnajokull:/home/sub0 # cd 
vatnajokull:~ # 


Η εγκατάσταση του Apache γίνεται µε TOV αναμενόμενο τρόπο: 


vatnajokull:~ # zypper -n in apache2 
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cvar@ohsuse:~ 


File Edit View Search Terminal Help 


vatnajokull:~ # 

lvatnajokull:~ # zypper -n in apache2 
Loading repository data... 

Reading installed packages... 
Resolving package dependencies... 


pache2 apache2-prefork apache2-utils libaprl \ibapr-utill libnghttp2-14 


new packages to install. 
Overall download size: 1.8 MiB. Already cached: © B. After the operation, additional 5.4 MiB will be 
used. 
Continue? [y/n/? shows all options] (y): y 
Retrieving package libaprl-1.5.1-6.6.x86_64 (1/6), 99.5 KiB (232.8 KiB unpacked) 
Retrieving: libapr1-1.5.1-6.6.x86_64.rpm .. ΕΚΤ 
Retrieving package Libnghttp2-14-1.3.4-3.22.x86_ > ‘ iB unpacked) 
Retrieving: lLibnghttp2-14-1.3.4-3.22.x86_64.rpm [done] 
Retrieving package Libapr-utill-1.5.3-4.5.x86_64 iB unpacked) 
Retrieving: libapr-utill-1.5.3-4.5.x86_64.rpm 
Retrieving package apache2-utils-2.4.23-4.3.x86_64 
Retrieving: apache2-utils-2.4.23-4.3.x86_64.rpm 
Retrieving package apache2-2.4.23-4.3.x86_64 
Retrieving: apache2-2.4.23-4.3.x86_64.rpm 
Retrieving package apache2-prefork-2.4.23-4.3.x86_64 (6/6), 273.7 KiB (596.3 KiB unpacked) 
Retrieving: apache2-prefork-2.4.23-4.3.x86_64.rpm . : . . [done] 
Checking for file conflicts: š [done] 
(1/6) Installing: libaprl-1.5.1-6.6.x86_64 .. é . [done] 
(2/6) Installing: lLibnghttp2-14-1.3.4-3.22.x86_64 . . . [done] 
(3/6) Installing: libapr-utill-1.5.3-4.5.x86_64 ... . [done] 
(4/6) Installing: apache2-utils-2.4.23-4.3.x86_64 . F . [done] 
(5/6) Installing: apache2-2.4.23-4.3.x86_64 [done] 
Additional rpm output: 
Updating /etc/sysconfig/apache2... 


(6/6) Installing: apache2-prefork-2.4.23-4.3.x86_64 ... 
vatnajokull:~ # || 


Η εξαιρετικά απλή διαδικασία της εγκατάστασης του Apache web server 
κι όλων των εξαρτήσεών του, στο openSUSE Leap. 


Αμέσως μετά την εγκατάστασή του, ο Apache εἰναι ανενεργός (inactive): 


vatnajokull:~ # 
* apache2.service - The Apache Webserver 


Loaded: loaded (/usr/lib/systemd/system/apache2.service; disabled; vendor 
preset: disabled) 


Active: inactive (dead) 


Η ενεργοποίηση γίνεται γράφοντας 
vatnajokull:~ # 


Ελέγχοντας ξανά την κατάσταση του Apache, βλέπουμε OTL τώρα εἶναι πράγματι 
ενεργός (active) αλλά η υπηρεσία παραμένει απενεργοποιηµένη (disabled): 
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vatnajokull:~ # systemctl status apache2.service 
* apache2.service - The Apache Webserver 


Loaded: loaded (/usr/lib/systemd/system/apache2.service; disabled; vendor 
preset: disabled) 


Active: active (running) since Sun 2017-01-15 20:41:52 CET; 50s ago 

Main PID: 4057 (httpd-prefork) 
Status: "Total requests: 0; Current requests/sec: 0; Current trafic: 0 B/sec" 
Tasks: 6 


Jan 15 20:41:51 vatnajokull systemd[1]: Starting The Apache Webserver... 
Jan 15 20:41:52 vatnajokull systemd[1]: Started The Apache Webserver. 


Η ενεργοποίηση της υπηρεσίας γίνεται δίνοντας 


vatnajokull:~ # sudo systemctl enable apache2.service 


Created symlink from /etc/systemd/system/httpd.service to /usr/lib/systemd/ 
system/apache2. service. 


Created symlink from /etc/systemd/system/apache.service to /usr/lib/systemd/ 
system/apache2.service. 


Created symlink from /etc/systemd/system/multi-user.target.wants/apache2. 
service to /usr/lib/systemd/system/apache2.service. 


Σηµείωση. Αν δεν γνωρίζετε τη διαφορά μεταξύ ενεργοποιηµένης κι ενεργής κα- 
θὼς και τη διαφορά μεταξύ απενεργοποιηµένης κι ανενεργής υπηρεσίας, διαβάστε 
το σχετικό µας άρθρο περί του Systemd (https://deltahacker.gr/?p=16816). 


Πρώτες δοκιμές για Tov Apache 


Τώρα που ο Apache είναι ενεργός (κι ενεργοποιηµένος :)) θα θέλαµε να δούμε αν 
δουλεύει σωστά, δηλαδή αν σερβίρει κάποια προκαθορισμένη σελίδα H Κάτι Τέτοιο 
(TM). Θα ξεκινήσουμε τους ελέγχους µας πρώτα µέσα από το VPS, µε τη βοήθεια 
ενός browser για την κονσόλα απλού κειµένου και µε επίσκεψη στο http://localhost. 
Μετά θα κάνουμε κι ÉVA τεστ εξωτερικά, από τον web browser ενός οποιουδήποτε 
άλλου υπολογιστή και µε επίσκεψη στο http://vatnajokull.colder.xyz. Ξεκινάμε από 
την κονσόλα και µε τον browser ονόματι elinks. Αν δεν εἶναι εγκατεστημένος, TO φρο- 
ντίζουµε αμέσως: 


vatnajokull:~ # zypper -n in elinks 
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Αμέσως µετά επισκεπτόµαστε το http://localhost γράφοντας 
vatnajokull:~ # elinks http://localhost 


Περιέργως, παίρνουμε το μήνυμα λάθους "Access Forbidden!" (γιανα εγκαταλείψετε 
το elinks πατήστε το πλήκτρο [Q] και µετά το [Enter]). 


cvar@ohsuse:~ 


File Edit View Search Terminal Help 


Access forbidden! 
Access forbidden! 
You don't have permission to access the requested directory. There is either no index document or 
the directory is read-protected. 
If you think this is a server error, please contact the webmasters 
Error 403 
localhost 
Apache 
mailto:[no address given] [------ 18. 


Δεν μπορούμε καν v' ανοίξουμε τη σελίδα καλωσορίσµατος Tou Apache 
από To localhost;! Χμ, σαν να µην αρχίζουμε καλά... :/ 


Στο openSUSE, ο κατάλογος στον οποίο βρίσκεται το περιεχόµενο (DocumentRoot) 
του προκαθορισµένου Site (virtual host) Tou Apache, εἶναι το /srv/www/htdocs. Πράγ- 
ματι; 


vatnajokull:~ # apachectl -S 

VirtualHost configuration: 

ServerRoot: "/srv/www" 

Main DocumentRoot: "/srv/www/htdocs" 

Main ErrorLog: "/var/log/apache2/error_log" 
Mutex ssl-stapling-refresh: using defaults 
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Mutex ssl-stapling: using defaults 

Mutex ssl-cache: using_defaults 

Mutex default: dir="/run/" mechanism=default 
Mutex mpm-accept: using defaults 

PidFile: "/run/httpd.pid" 

Define: DUMP_VHOSTS 

Define: DUMP_RUN_CFG 

User: name="wwrun" 14Ξ30 

Group: name="www" id=8 


Αν ρίξουμε µια ματιά στον κατάλογο /srv/www/htdocs, θα διαπιστώσουμε OTL είναι 
κενός: 


vatnajokull:~ # 15 -lha /srv/www/htdocs 
total 8.0K 

drwxr-xr-x 2 root root 4.0K Oct 7 17:51 
drwxr-xr-x 4 root root 4.0K Oct 7 17:51 


cvar@ohsuse:~ 


File Edit View Search Terminal Help 


http: //localhost/ 


This is the default virtual host of Apache@Vatnajokull 


O Apache ακούει για αιτήσεις πελατών και” από To localhost interface, κι 
αυτό είναι κάτι που το επαληθεύουμε, T.X., µε τη βοήθεια του elinks. 
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Πα λόγους ασφαλείας ο Apache δεν επιτρέπει το navigation στο DocumentRoot, έτσι 
παίρνουμε το μήνυμα λάθους που είδαμε πριν λίγο. Ας φτιάξουμε Eva απλό αρχείο 
HTML µέσα στο DocumentRoot: 


vatnajokull:~ # 


Αυτή τη φορά n μετάβαση pe το elinks στο http://localhost δεν θα επιστρέψει κάποιο 
μήνυμα λάθους, αλλά εκείνο που περιλαμβάνεται ανάµεσα στο «Π]Ί5...«/Π15. 


Στη συνέχεια, όμως, επιχειρώντας να επισκεφτούµε το http://vatnajokull.colder.xyz 
από Tov web browser ενός οποιουδήποτε υπολογιστή, διαπιστώνουμε ότι N σύνδεση 
µε τον απομακρυσμένο web server (δηλαδή µε τον Apache) δεν προχωρά. H αποτυ- 
xia είναι αναμενόμενη κι οφείλεται στο firewall του openSUSE, το οποίο εξ ορισμού 
EXEL TO port 80/ΤΟΡ κλειστό για το external zone. Φορτώνουμε λοιπόν το module 
ονόματι "firewall" του YaST (yast2 firewall) και φροντίζουμε ώστε το port 80/TCP va 
εἶναι ανοικτό. Και µιας µια κι που αργότερα θα θέλουμε πρόσβαση και στο port 443/ 
TCP, yua TIG συνδέσεις HTTPS, το ανοίγουμε κι αυτό από τώρα. Δείτε τα screenshots 
που ακολουθούν, διαβάστε καιτις αντίστοιχες περιγραφές. 


cvar@ohsuse:~ 


File Edit View Search Terminal Help 
YaST2 - firewall @ vatnajokull 


- Firewall Configuration: Interfaces 


Interfaces M "9 


—Mas εἴπθ “External Zone 


[H [Cancel] Ne 


Help | Fa ΕΠΗ Ἔ | 7 QED ας | Fo [ΕΠΞΗΙ | F10 [ἘΠ 


Το eth0 interface του openSUSE VPS ανήκει στο λεγόμενο external 
zone. Σε λίγο θα πούμε στο firewall να επιτρέπει τις εισερχόµενες 
συνδέσεις στο port 80/TCP, για Ta interfaces του προαναφερθέντος 
zone. 
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cvar@ohsuse:~ 


Πα To external zone επιτρέπονταν οι εισερχόµενες συνδέσεις προς Το port 22/TCP (OpenSSH 
service), αλλά τώρα φροντίζουμε ώστε να επιτρέπονται KAL οι εισερχόµενες συνδέσεις προς Τα 
ports 80/TCP και 443/ΤΟΡ (HTTP και HTTPS αντίστοιχα). 


cvar@ohsuse:~ 


Σύνοψη των αλλαγών που πρόκειται να γίνουν στο σύνολο κανόνων Tou firewall. 
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Μετά τις αλλαγές στο firewal, επιχειρώντας να μεταβούμε στο 
http://vatnajokull.colder.xyz από τον web browser ενός οποιοδήποτε υπολογιστή, βλέ- 
πουµε το τυπικό μήνυμα που έχουµε συμπεριλάβει στο index.html. Όλα καλά. 


Mozilla Firefox = leh κ 
http://vatnaj...L.colder.xyz/ κ \ + 
«) (5. vatnajokull.colder.xyz ς ια Search σος α Ya ο # = 


This is the default virtual host of Apache@Vatnajokull 


Μετά τις αλλαγές στο firewall Tou openSUSE µας, ano έναν 
οποιονδήποτε άλλο υπολογιστή βλέπουμε την απλή σελίδα του 
προκαθορισµένου virtual host που σερβίρει o Apache. 


Ta virtual hosts του Apache 


O Apache έχει τη δυνατότητα να διαχειρίζεται περισσότερα από ένα sites, τα οποία 
βρίσκονται όλα τους στο ίδιο φυσικό ἡ εικονικό μηχάνημα. Για τον Apache, καθένα 
απ’ αυτά τα sites είναι ένας διαφορετικός virtual host και περιγράφεται σε κάποιο 
configuration file, µε κατάληξη *.conf. Οι clients του Apache φτάνουν στα sites που 
σερβίρει πληκτρολογώντας: 


* éva όνομα, όπως, T.X., deltahacker.gr, vatnajokull.colder.xyz κ.ο.κ. 
«την κατάλληλη αριθµητική διεύθυνση ΙΡ (σπάνια στις μέρες µας) 
* έναν συνδυασμό ονόµατος/ΙΡ και port (επίσης σπάνια στις µέρες µας). 


Στο παρόν άρθρο μάς ενδιαφέρει κυρίως η πλευρά του Server, οπότε ας στρέψουμε 
την προσοχή µας στον Apache. Πληκτρολογώντας, λοιπόν, apachectl -5, παίρνου- 
µε κάποιες πληροφορίες για τον προκαθορισμένο virtual host που υφίσταται apé- 
σως μετά την εγκατάσταση της υπηρεσίας. Οι παράμετροι που βλέπουμε δεν έχουν 
σημασία αυτή τη στιγµή. Θα πούμε µόνο ότι το σχετικό αρχείο ρυθμίσεων εἰναι το 
default-server.conf, µέσα στον κατάλογο /etc/apache2. Τώρα, η ενδεδειγµένη πρα- 
κτική θέλει Ta Configuration files των virtual hosts να βρίσκονται μέσα στον κατά- 
λογο /etc/apache2/vhosts.d. Ακόμη κι αν έχουµε "μόνο: έναν virtual host, για λόγους 
καλής διαχείρισης προτείνεται να µη βασιστούµε στο default-server.conf αλλά va 
δημιουργήσουμε ένα νέο αρχείο μέσα” στον κατάλογο vhosts.d. Προσέξτε επίσης 
µια λεπτομέρεια: περισσότερα ano ένα virtual hosts είναι δυνατό να περιγράφονται 
σε *éva* configuration file. Ξανά όµως για λόγους καλής διαχείρισης, καλό εἶναι να 
φροντίζουμε WOTE διαφορετικοί virtual hosts να περιγράφονται σε διαφορετικά 
configuration files. 


Συνοψίζοντας: Κάθε virtual host πρέπει να έχει TO δικό του configuration file, το 
οποίο εἶναι éva αρχείο µε κατάληξη *.conf και βρίσκεται κάτω από το /etc/apache2/ 
vhosts.d. Όλα, ua όλα, τα αρχεία εντός του συγκεκριμένου καταλόγου που έχουν 
κατάληξη *.conf, φορτώνονται από τον Apache. 
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Δημιουργία virtual host για HTTP 


Στο OpenSUSE, µέσα στον κατάλογο /etc/apache2/vhosts.d υπάρχουν τα αρχεία 
vhost.template και vhost-ssl.template. Όπως φανερώνουν τα ονόματά τους, ANOTE- 
λούν πρότυπα για τη σύνταξη virtual host configuration files. Είναι φανερό ότι το 
πρὠτο βοηθά στη σύνταξη configuration files για HTTP sites, ενώ το δεύτερο βοηθά 
στη σύνταξη configuration files για HTTPS sites. Μπορείτε φυσικάνατα αντιγράψετε 
και να τα µετονομάσετε και να τα τροποποιήσετε καταλλήλως. Πα αρχή πάντως, 
εμείς προτείνουμε κάτι πολύ πιο απλό. 


Ξεκινάμε µε τη δηµιουργία καταλόγων για τη φιλοξενία των αρχείων του site µας, 
καθώς και των αντίστοιχων αρχείων καταγραφής (log files): 


vatnajokull:~ # mkdir -p /srv/www/vatnajokull.colder.xyz/{content , logs} 


Κάτω amo τον /srv/www φτιάξαμε τον κατάλογο vatnajokull.colder.xyz, ο οποίος σκό- 
πιµα έχει το πλήρες όνομα του site. Εντός αυτού δημιουργήσαμε και τους καταλό- 
γους content και logs: στον πρὠτο θα βρίσκονται όλα τα αρχεία του Site, ενώ στον 
δεύτερο τα log files που θα τηρεί ο Apache yia To “συγκεκριμένο” site. Ας φτιάξουμε 
μέσα στον κατάλογο content éva απλό αρχείο html, ώστε σε λίγο να μπορέσουμε να 
κάνουμε και τις δοκιμές μας: 


vatnajokull:~ # echo ‘<html><body><h1>Welcome to vatnajokull.colder.xyz!</h1></ 
body></html>' > /srv/www/vatnajokull.colder.xyz/content/index. html 


Ωραία. Στο openSUSE µας υπάρχει ένας λογαριασμός απλού χρήστη, µε username 
το 500. Οι απλοί χρήστες στο OpenSUSE εξ ορισμού ανήκουν στην ομάδα users. 
Θέλουμε το περιεχόµενο του vatnajokull.colder.xyz va To διαχειρίζεται ο απλός µας 
χρήστης, οπότε πριν συνεχίσουμε ας φροντίσουμε για το ιδιοκτησιακό καθεστώς 
του καταλόγου content κι όλων των περιεχομένων TOU: 


vatnajokull:~ # chown -R sub0:users /srv/www/vatnajokull.colder.xyz/content 


Έχει έρθει η στιγµή να συντάξουµε To configuration file για Tov virtual host Tou 
vatnajokull.colder.xyz. Το σχετικό αρχείο θα το ονοµάσουµε vatnajokull.colder.xyz. 
conf και θα βρίσκεται εντός του καταλόγου /etc/apache2/vhosts.d. Το δημιουργούμε 
µε τον αγαπημένο µας text editor... 


vatnajokull:~ # vi /etc/apache2/vhosts.d/vatnajokull.colder.xyz.conf 


και φροντίζουμε ώστε να περιλαμβάνει το ακόλουθο περιεχόμενο: 
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<VirtualHost *:80> 
ServerName vatnajokull.colder.xyz 
ServerAdmin talk2us@colder. xyz 
DocumentRoot /srv/ww/vatnajokull.colder.xyz/content 
ΕΓΓΟΓΙΟΡ /srv/ww/vatnajokull.colder.xyz/logs/error.log 
CustomLog /srv/ww/vatnajokull.colder.xyz/logs/access.log combined 
<Directory "/srv/ww/vatnajokull.colder .xyz/content"> 
Require all granted 
</Directory> 
</VirtualHost> 


Νομίζουμε ότι η σημασία των οδηγιών είναι προφανής. Αποθηκεύουμετις αλλαγές 
στο vatnajokull.colder.xyz.conf κι επανεκκινούµε τον Apache: 


vatnajokull:~ 4 


Αν όλα έχουν πάει καλά, TX., δεν υπάρχει κάποιο συντακτικό λάθος στο vatnajokull. 
colder.xyz.conf, τότε amo έναν οποιονδήποτε web browser θα μπορούμε να πηγαίνου- 
µε στο http://vatnajokull.colder.xyz κι eKei θαβλέπουμε μιαλευκή σελίδα µε το μήνυ- 
pa " Welcome to vatnajokull.colder.xyz!". Κάθε επίσκεψη θα καταγράφεται στο αρχείο 
access.log, µέσα στον κατάλογο /srv/www/vatnajokull.colder.xyz/logs. 


File Edit View Search Terminal Help 
<VirtualHost *:80> 
vatnajokull.colder.xyz 
talk2us@colder.xyz 
/srv/www/vatnajokull.colder.xyz/content 
/srv/www/vatnajokull.colder.xyz/logs/°) +o: .log 
/srv/www/vatnajokull.colder.xyz/logs/access.log combined 
<Directory "/srv/www/vatnajokull.colder.xyz/content"> 
all granted 
</Directory> 


</VirtualHosty 


Το πρώτο µας virtual host 
gia tov Apache! 


"/etc/apache2/vhosts.d/vatnajokull.colder.xyz.conf" 10L, 371C 10,14 


Το απλό configuration file Tou virtual host που φτιάξαμε για To vatnajokull.colder.xyz. Πολλά 
περισσότερα για τη σύνταξη των σχετικών αρχείων µπορείτε va διαβάσετε στο επίσημο 
documentation Tou Apache, στο https://httpd.apache.org/docs/2.4/vhosts. 
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Mozilla Firefox - 0 κ 
http://vatnaj...l.colder.xyz/ κ \ + 


€) © vatnajokull.colder.xyz 6 ||Q Search ve + AOO Ὁ o £/ = 


Welcome to vatnajokull.colder.xyz! 


Αφού επανεκκινήσουµε Tov Apache, ώστε va λάβει υπόψη το 
νέο virtual host, µια σύντομη δοκιμή από έναν οποιονδήποτε web 
browser ενός οποιουδήποτε υπολογιστή είναι επιβεβλημένη. 


Λήψη κι εγκατάσταση πιστοποιητικού από Let's Encrypt 


θα φτιάξουμε σε πολύ λίγο éva νέο virtual host, για τις συνδέσεις HTTPS. Αν το αντί- 
στοιχο site είναι πειραματικό ή/και προορίζεται μόνο για χρήση εντός του τοπικού 
δικτύου, τότε χωρίς πρόβλημα μπορούμε να του έχουµε Eva self-signed πιστοποιη- 
τικό. Σε περίπτωση όμως που TO Site θα εἶναι προσβάσιμο από το Internet, Eva τέτοιο 
πιστοποιητικό αν µητι άλλο θαπροβληματίζειτους επισκέπτες. Αντί λοιπόν για self- 
signed πιστοποιητικό, θα εγκαταστήσουµε ένα έγκυρο που θα εἶναι υπογεγραμμένο 
από την Αρχή Πιστοποίησης του Let's Encrypt πρότζεκτ (https://letsencrypt.org). 


Χρειαζόμαστε το certbot (https://certbot.eff.org), τον επίσημο client του EFF 
(https://www.eff.org) για το Let's Encrypt. Το certbot ελέγχει αν είμαστε οι κάτο- 
χοι ενός (Sub)domain και στη συνέχεια κατεβάζει κι εγκαθιστά Eva υπογεγραμμένο 
πιστοποιητικό για TO ἰδιο (Sub)domain (https://certbot.eff.org/about). Δεν υπάρχει 
πακέτο RPM ue το certbot για το openSUSE, μπορούμε ωστόσο va TO πάρουμε απευ- 
θείας: 


vatnajokull:~ # wget https://dl.eff.org/certbot-auto 

--2017-01-24 06:52:38-- https://dl.eff.org/certbot-auto 

Resolving dl.eff.org (dl.eff.org)... 173.239.79.196 

Connecting to dl.eff.org (dl.eff.org)|173.239.79.196|:443... connected. 
HTTP request sent, awaiting response... 200 OK 

Length: 46237 (45K) [text/plain] 

Saving to: ‘certbot-auto’ 

100%[===================================>] 46,237 280KB/s in 0.25 
2017-01-24 06:52:42 (280 KB/s) - ‘certbot-auto’ saved [46237/46237] 


Πρόκειται για το σκριπτάκι certbot-auto, το οποίο μεταφέρουμε στον κατάλογο ~/ 
bin και φροντίζουμε ώστε να εἶναι εκτελέσιμο: 


vatnajokull:~ # mv certbot-auto bin/ 
vatnajokull:~ # chmod +x bin/certbot-auto 
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Αμέσως µετά TO τρέχουμε ως ακολούθως: 
vatnajokull:~ # 


Την πρὠτη φορά που το certbot-auto τρέχει σ' Eva σύστημα, ελέγχει για την παρου- 
σία εργαλείων και βιβλιοθηκών που χρειάζεται. Πα ότι δεν βρίσκει, ζητά άδεια για 
την εγκατάσταση των αντίστοιχων πακέτων της εκάστοτε διανομής. Εννοείταιπως 
του τη δίνουμε. 


Activities [5] cvar@ohsuse:~ ~ Sat 28 Jan, 11:53 
File Edit View Search Terminal Help 


lVvatnajokull:~ # 
Vvatnajokull:~ # |\/Bin/eerebotsautel == 
openSUSE- 


Bootstrapping dependencies for 
Loading r 

Reading i 4 
‘python! is a ed. 
No update cand f thon-2.7.12-24.1.x86_64'. The highest available version is already installed. 
'ca-certificates' is alr 


86_64'. The highest available version is already installed. 
ying capabilities. 


pp cpp48 gcc gcc48 glibc-devel libasan® libatomic ibcloog-isl4 libffi-devel-gcc5 libgompl-gcc6 libisl10 libitml-gcc6 libmpc3 
ibmpfr4 libopenssl-devel libtsan0-gec6 linux-glib e el python-setuptools python-virtualenv zlib-devel 


new packages to install. 


Overall download size: 21.9 MiB. Already cached: 9 B. After the operation, additional 83.0 MiB will be used 
Continue? [y/n/? shows all options] (y): 


Πατήστε LY], αποφασιστικά και άφοβα! 


Την πρώτη φορά που το certbot-auto τρέχει o' ένα σύστημα, ελέγχει για 
την παρουσία εργαλείων και βιβλιοθηκών που χρειάζεται. Πα ό,τι δεν 
βρίσκει, ζητά άδεια για την εγκατάσταση των αντίστοιχων πακέτων για 
την εκάστοτε διανομή. 


Μετά τη λήψη κι εγκατάσταση όλων των απαραίτητων πακέτων που το certbot-auto 
χρειάζεται για τη λειτουργία του, το script συνεχίζει µε τη λήψη και την εγκατά- 
σταση πιστοποιητικών γιατους Virtual hosts που βρίσκει στο /etc/apache2/vhosts.d. 
Προσέξτε τα δύο ακόλουθα screenshots, διαβάστε και τις αντίστοιχες περιγραφές. 


Θα παρατηρήσατε ίσως ὁτι πριν λίγο τρέξαµε το certbot-auto µε την παράμετρο 
--apache και την οδηγία certonly. H παράμετρος --apache σηµαίνει ότι για την TAU- 
τοποίηση και την εγκατάσταση, το certbot-only θα χρησιμοποιήσει TO plugin για τον 
Apache (αυτός εἶναι ο web server που τρέχουμε). H δε οδηγία certonly λέει στο script 
να λάβει ή ν' ανανεώσει τα πιστοποιητικά, αλλά να µην επιχειρήσει να δηµιουργή- 
σει configuration files για τα αντίστοιχα virtual hosts. Κατά τις δοκιμές µας, αρχικά 
είχαμε παραλείψει την οδηγία certonly και το certbot-auto απέτυχε να δημιουργήσει 
configuration file για To vatnajokull.colder.xyz. Σκεφτήκαμε λοιπόν να φτιάξουμε uó- 
νοι µας το αντίστοιχο configuration file. Από τη στιγµή άλλωστε που έχουµε έτοιμο 
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Activities [5] cvar@ohsuse:~ ~ Sat 28 Jan, 12:03% € ox Ωω τσ 
File Edit View Search Terminal Help 
1) Installing: glibc-devel-2.22-3.7. ane j . [done 
21) Installing: python-virtualenv-13.1 4.noarch ... 5 Ε ἢ «Γάοπε 


Additional rpm output: 
lupdate-alternatives: using /usr/bin/virtualenv-2.7 to provide /usr/bin/virtualenv (virtualenv) in auto mode 


( 9/21) Installing: Libcloog-isl4-0.18.1-4.57.x86_64 . A : : y . [done 
(10/21) Installing: libmpc3-1. 4.55.x86_64 . : ᾿ ‘ k . [done 
(11/21) Installing: python-devel .1.x86_64 . i X ; A : . [done 
(12/21) Installing: 2.1. A : : ς i . [done 
(13/21) Installing: 36_64 . : : : . [done] 
(14/21) Installing: 8 : ; ; . [done] 
Installing: Libgomp1-gcc6-6.2.1+r .3.x86 s : K . [done 

) Installing: libitml-gcc6-6.2.1+ 6 : A x : h . [done 

) Installing: libtsano-g 2. : . 3 . [done] 
Installing: zlib-dev x86_ ; ; r . [done] 
Installing: gcc48 : . [done] 


Installing: libopenssl-devel-1.0.2j-2.2.x86_64 .... ; ' i . [done] 


Installing: gcc-4 61 64 . 3 τ A 4 x . [done] 
Creating virtual environment. 
Installing Python packages... 
Installation succeeded 
Saving debug log to /var/log/l crypt/letsencrypt. log 
Enter email address (used f nt renewal and security notices) (Enter 'c' to 
cancel) : subZraw@colder. xyz 


read the Terms of Servi 


rver at 


blank to select all options shown (Enter 'c' to cancel):1 (3) 


Μετά το κατέβασμα και την εγκατάσταση των πακέτων που είναι απαραίτητα για τις λειτουργίες του certbot- 
auto, To script ζητά ένα έγκυρο email (1). Σ' αυτή τη διεύθυνση θα αποστέλλονται ειδοποιήσεις για πιστοποιητικά 
που πλησιάζουν στη λήξη τους, καθώς και μηνύματα που αφορούν σε ζητήματα ασφαλείας (δεν έχει τύχει να 
λάβουμε τέτοιο μήνυμα). Στη συνέχεια καλούμαστε να αποδεχτούµε τους όρους χρήσης της υπηρεσίας του Let's 
Encrypt (2) και µετά καλούμαστε να υποδείξουµε Τα domains για τα οποία θέλουμε πιστοποιητικά (3). Εμείς 
έχουµε έναν μόνο virtual host, αυτόν για το vatnajokull.colder.xyz, οπότε πατάμε [1] και [Enter]. 


Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem 
Creating CSR: /etc/letsencrypt/csr/0000_csr rtbot.pem 


Congratulations! Your certificate and chain have been saved at 
/etc/letsencrypt/live/vatnajokull.colder.xyz/fullchain.pem. Your 
cert will expire on 2017-04-28. To obtain a new or tweaked version 
of this certificate in the future, simply run certbot-auto again. 
To non-interactively renew *all* of your certificates, run 
"certbot-auto renew" 

If you lose your account credentials, you can recover through 
e-mails sent to subZraw@colde yz. 

Your account credentials have been saved in your Certbot 
configuration directory at /etc/letsencrypt. You should make a 
secure backup of this folder now. This configuration directory will 
also contain certificates and private keys obtained by Certbot so 
making regular backups of this folder is ideal. 

If you like Certbot, please consider supporting our work by: 


Donating to ISRG / Let's Encrypt: https: //letsencrypt.org/donate 
Donating to EFF: https: //eff.org/donate-le 


Ακολουθούν µια σειρά από ελέγχους και µετά το certbot-auto κατεβάζει τα αρχεία που συγκροτούν TO 
υπογεγραμμένο πιστοποιητικό για To (sub)domain µας. Όλα είναι καλά, έχουµε όµως λίγη δουλειά ακόµα. 
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το αντίστοιχο αρχείο για τον HTTP host, η δηµιουργία νέου αρχείου yra Tov HTTPS 
host dev είναι δύσκολη υπόθεση. Πράγματι, ξεκινάμε αντιγράφοντας και μετονομά- 
ζοντας το vatnajokull.colder.xyz.conf, εντός του καταλόγου /etc/apache2/vhosts.d: 


vatnajokull:~ # cd /etc/apache2/vhosts.d 
vatnajokull:/etc/apache2/vhosts.d ἡ cp vatnajokull.colder.xyz.conf vatnajokull. 


colder .xyz-tls-le.conf 


Τροποποιούµε το αρχείο vatnajokull.colder.xyz-tls-le.conf αλλά και TOU προσθέτουμε 
VEO περιεχόµενο, WOTE τελικά VA μοιάζει µε TO ακόλουθο: 


<IfModule mod_ssl.c> 
<VirtualHost *:443> 


ServerName vatnajokull.colder.xyz 
ServerAdmin talk2us@colder.xyz 
DocumentRoot /srv/www/vatnajokull.colder.xyz/content 
ErrorLog /srv/ww/vatnajokull.colder.xyz/logs/error. log 
CustomLog /srv/www/vatnajokull.colder.xyz/logs/access.log combined 
<Directory "/srv/www/vatnajokull.colder.xyz/content"> 
Require all granted 


</Directory> 


SSLCertificateFile /etc/letsencrypt/live/vatnajokull.colder.xyz/fullchain.pem 
SSLCertificateKeyFile /etc/letsencrypt/live/vatnajokull.colder.xyz/privkey.pem 
Include /etc/letsencrypt/options-ssl-apache.conf 

</VirtualHost> 

</IfModule> 


Ac κάνουμε µια σύνοψη των αλλαγών/προσθηκών στο νέο configuration file (για τον 
HTTPS host), σε σύγκριση µε το παλιό’ configuration file (για τον HTTP host). 
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* To μπλοκ ανάµεσα στα <VirtualHost> και </VirtualHost>, το οποίο ορίζει Evav 


virtual host, τώρα εἰναι εντεταγµένο ανάμεσα στα <lfModule mod_ssl.c> 
και </IfModule>. Γενικά, ότι περιλαμβάνεται ανάµεσα σε μπλοκ της μορφής 
<lfModule [!]module_file|module_identifier> ... </IfModule> λαμβάνεται υπόψη 
ανάλογα µε TO αποτέλεσµα του ελέγχου για την παρουσία ή την απουσία (!) 
συγκεκριμένου module Tou Apache. Στο παράδειγμά µας απλά ελέγχουμε αν 
το module για την υποστήριξη SSL από πλευράς Apache είναι φορτωμένο. Στο 
openSUSE φορτώνεται εξ ορισμού κι αυτόματα, επομένως ο έλεγχος εἰναι 
αληθής κι ο ορισμός του HTTPS host λαμβάνεται υπόψη από τον web server. 

O ορισμός του virtual host για HTTPS ξεκινά µε ένα <VirtualHost 443» κι όχι 


με éva <VirtualHost «80», αφού εξ ορισμού οι συνδέσεις HTTPS γίνονται στο 
port 443/TCP. 
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* Λίγο πριν το τέλος του νέου virtual host έχουν προστεθεί οδηγίες αφενός για 
το φόρτωμα του Cain file (πιστοποιητικό του domain µαζί µε το πιστοποιητικό 
της Αρχής Πιστοποίησης του Let's Encrypt), αφετέρου για το φόρτωµατου ιδι- 
ωτικού κλειδιού που αντιστοιχεί στο πιστοποιητικό (περιλαμβάνει το δηµό- 
σιο κλειδί) του domain. 


.. H τελευταία οδηγία πριν το 'κλείσιμο' του virtual host συμπεριλαμβάνει όλες 
τις οδηγίες που παρατίθενται στο αρχείο /etc/letsencrypt/options-ssl-apache. 
conf (Exel δημιουργήσει το certbot-auto). Ουσιαστικά, οι οδηγίες του συγκεκρι- 
μένου αρχείου ενισχύουν την ασφάλεια και την αξιοπιστία των συνδέσεων 
HTTPS που υποστηρίζει ο Apache µας. 


Activities [5] cvar@ohsuse:~ ~ Sat 28 Jan, 16:18 ε Φον. Πχ Ow @r 
File Edit View Search Terminal Help 


diff -U 15 vatnajokull.colder.xyz.conf vatnajokull.colder.xyz-tls-le. conf 
--- vatnajokull.colder.xyz.conf 2017-01-28 15:37:42.256657201 +0100 
+++ vatnajokull.colder.xyz-tls-le.conf 2017-01-28 16:04:19.829586395 +0100 


26 -1,10 +1,15 

<VirtualHost κ: (1) 
+<IfModule mod_ssl.c> 
+<VirtualHost *:443> 


ServerName vatnajokull.colder.xyz 

ServerAdmin talk2us@colder.xyz 

DocumentRoot /srv/www/vatnajokull.colder.xyz/content 

ErrorLog /srv/www/vatnajokull.colder.xyz/logs/error. log 

CustomLog /srv/www/vatnajokull.colde z/logs/access.log combined 

<Directory "/srv/www/vatnajokull.colder.xyz/content"> 

Require all granted 

</Directory> 
+ SSLCertificateFile /etc/letsencrypt/live/vatnajokull.colder.xyz/fullchain.pem 
+ SSLCertificateKeyFile /etc/letsencrypt/live/vatnajokull.colder.xyz/privkey.pem 
+ Include /etc/letsencrypt/options-ssl-apache.conf 

</VirtualHost> 


+</IfModule> θ 


Οι διαφορές στα configuration files των δύο virtual hosts για το vatnajokull.colder.xyz, 
όπως φαίνονται µε τη βοήθεια του εργαλείου diff και µε µερικές έξτρα πινελιές |) 


Όπως ίσως θα παρατηρήσατε, το certbot-auto EXEL τακτοποιήσει πιστοποιητικά και 
ιδιωτικό κλειδί κάτω amd το /etc/letsencrypt/live/vatnajokull.colder.xyz. Στην πραγ- 
µατικότητα, για κάθε domain αποθηκεύει τα σχετικά αρχεία σε έναν κατάλογο της 
µορφής /etc/letsencrypt/archive/domain. Κάτω amd τους καταλόγους της μορφής / 
etc/letsencrypt/live/domain υπάρχουν symbolic links προς τις πλέον πρόσφατες £K- 
δόσεις πιστοποιητικών και ιδιωτικών κλειδιών για το εκάστοτε domain. Μην ξε- 
χνάτε ότι µετά από συγκεκριµένο χρονικό διάστηµα ταπιστοποιητικά λήγουν, οπότε 
από τη μεριά µας φροντίζουμε να T' ανανεώνουμε. Λίγο αργότερα θα δούμε πώς 
ακριβώς αυτοματοποιούνται οἱ εν λόγω ανανεώσεις. Προς το παρόν, ας επανεκκι- 
νήσουµε τον Apache ώστε να λάβει υπόψη και τον véo HTTPS host: 


vatnajokull:~ # systemctl restart apache2.service 
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Αν όλα έχουν πάει καλά, από έναν οποιονδήποτε web browser θα είμαστε σε θέση 
να επισκεφτούµε τη διεύθυνση https://vatnajokull.colder.xyz (προσοχή στο "s") και θα 
δούµε το μήνυμα "Welcome to vatnajokull.colder.xyz!". Όλα καλά — ἡ για την ακρίβεια 


*oyedov* όλα καλά. Έχουμε λίγη ακόµη δουλειά. 


Mozilla Firefox = τ X 
j https://vatna...l.colder.xyz/ κ \ + 
€) © @ | https://vatnajokull.colder.xyz 6 || Search va + f 8 ù ο ” = 


Welcome to vatnajokull.colder.xyz! 


Όπως φαίνεται και µε τη βοήθεια του Firefox, ο virtual host για τις συνδέσεις HTTPS προς το vatnajokull. 
colder.xyz έχει οριστεί σωστά. Υπάρχουν όµως μερικές εκκρεμότητες ακόµα, τις οποίες πρέπει να δούμε. 


Δοκιμές και βελτιώσεις 


Μετά την εγκατάσταση πιστοποιητικού για Eva domain, είναι πάντα καλή ιδέα να 
πηγαίνουμε µια βόλτα από το https://www.ssilabs.com και να κάνουμε µιασειρά από 
ελέγχους για την ποιότητα των συνδέσεων SSL/TSL που υποστηρίζει ο web server. 
Το απευθείας URL γιατην άµεση εκκίνηση των ελέγχων μοιάζει µε αυτό: 


https://www.ssllabs.com/ssltest/analyze.html?d=vatnajokull.colder.xyz&latest 


Οι έλεγχοι διαρκούν λίγα λεπτά κι όταν ολοκληρώνονται βλέπουμε, μεταξύ άλλων, 
τη συνολική µας αξιολόγηση. Πα όσα έχουµε κάνει έως τώρα, αυτή θα είναι "A". Δεί- 
χνει καλή -και είναι καλή-- µπορεί όµως να βελτιωθεί και να πάρουμε "A+". 


Activities 


ss t: vatnajokull.colder.xyz (Powered by Qu 
Ø SSL Server Test: vatn.. x \ + 


€) © @ https://www.ssllabs.com/ssttest/analyze.html?d=vatnajokull.colder.xyz + | @ | [Q Search wie + f = Or = 


9 QUALYS' SSL LABS Home Projects © Qualys.com Contact 


You are here: Home > Projects > SSL Server Test > vatnajokull.colderayz 


SSL Report: vatnajokull.colder.xyz (33.99.14.133) 
Assessed on: Sat, 28 Jan 2017 18:36:52 UTC | Hide | Clear cache Scan Another » 


Summary 


Overall Rating 


Certificate 


Key Exchange 


Cipher Strength 


Visit our documentation page for more information, configuration guides, and books. Known issues are documented here, 


Certificate #1: RSA 2048 bits (SHA256withRSA) 


Ξ-- Server Key and Certificate #1 


Αυτό To "A" δεν είναι άσχημο, αλλά εύκολα μπορούμε να το κάνουμε "A+". 
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Όπως εἰναι ορισμένοι αυτή τη στιγµή οι δύο virtual hosts για To vatnajokull.colder. 
xyz (ένας γιατις συνδέσεις HTTP κι άλλος ένας γιατις συνδέσεις HTTPS), όταν επι- 
σκεπτόµαστε τη διεύθυνση http://vatnajokull.colder.xyz «δεν: ανακατευθυνόμαστε 
αυτόματα, όπως θα μπορούσαμε και θα θέλαμε, στο https://vatnajokull.colder.xyz. 
M' άλλα λόγια, ακόµα κι όταν επιχειρούµε επισφαλή σύνδεση HTTP, αυτομάτως θα 
πρέπει να γυρνάµε σε ασφαλή σύνδεση HTTPS. Αυτό επιτυγχάνεται πολύ εύκολα, 
προσθέτοντας στο τέλος του configuration file για τον HTTP virtual host µία µόνο 


γραμμή: 


<VirtualHost *:80> 
ServerName vatnajokull.colder.xyz 
ServerAdmin talk2us@colder.xyz 
DocumentRoot /srv/www/vatnajokull.colder.xyz/content 
ErrorLog /srv/ww/vatnajokull.colder.xyz/logs/error. log 
CustomLog /srv/www/vatnajokull.colder.xyz/logs/access.log combined 
<Directory "/srv/www/vatnajokull.colder.xyz/content"> 
Require all granted 
</Directory> 
Redirect / https://vatnajokull.colder.xyz/ 
</VirtualHost> 


Επανεκκινούµε τον Apache... 
vatnajokull:~ # systemctl restart apache2.service 


KL από έναν οποιονδήποτε web browser μεταβαίνουμε στη διεύθυνση 
http://vatnajokull.colder.xyz. Παρουσία της οδηγίας Redirect, αυτομάτως ανακατευ- 
θυνόμαστε στο https://vatnajokull.colder.xyz (προσοχή, ίσως χρειαστεί éva refresh 
για Tov browser). Πάρα πολύ ωραία, µόνο που η συγκεκριμένη βελτίωση δεν εἰναι 
αρκετή yta va µας δώσειτο SSLLabs "A+". 


Προκειμένου λοιπόν να κερδίσουμε το "άριστα", χρειάζεται να δούµε το ζήτημα του 
HTTP Strict Transport Security (HSTS). Θέτοντας την κατάλληλη τιµή στον HSTS 
header, διασφαλίζουµε ότι στους επισκέπτες TOU vatnajokull.colder.xyz δεν: θα επι- 
τρέπονται απλές συνδέσεις HTTP. Προσέξτε: Av και αυτή τη στιγµή οι συνδέσεις 
ΗΤΤΡ προς το vatnajokull.colder.xyz αναβαθµίζονται αυτόματα σε συνδέσεις HTTPS, 
χωρίς το HSTS header η υλοποίηση επιθέσεων Man-in-The-Middle παραμένει εφι- 
κτός κίνδυνος. Πα το HSTS, λοιπόν, ανοίγουμε το αρχείο vatnajokull.colder.xyz-tls-le. 
conf και λίγο πριν το κλείσιμο” του virtual host προσθέτουμε τρεις νέες γραμμές: 


45 


VHAQKER 


<IfModule mod_ssl.c> 
<VirtualHost *:443> 
ServerName vatnajokull.colder.xyz 
ServerAdmin talk2us@colder .xyz 
DocumentRoot /srv/www/vatnajokull.colder.xyz/content 
ErrorLog /srv/www/vatnajokull.colder.xyz/logs/error.log 
CustomLog /srv/www/vatnajokull.colder.xyz/logs/access. log combined 
<Directory "/srv/www/vatnajokull.colder.xyz/content"> 
Require all granted 
</Directory> 


SSLCertificateFile /etc/letsencrypt/live/vatnajokull.colder.xyz/ 
fullchain.pem 


SSLCertificateKeyFile /etc/letsencrypt/live/vatnajokull.colder.xyz/ 
privkey.pem 


Include /etc/letsencrypt/options-ssl-apache. conf 
<IfModule mod_headers . c> 


Header always set Strict-Transport-Security "max-age=15552000; 
includeSubDomains; preload" 


</IfModule> 
</VirtualHost> 
</IfModule> 


Φροντίζουµε αμέσως µετά ὥστε TO Module ονόματι mod_headers να εἶναι φορτω- 
μένο... 


vatnajokull:~ ἡ a2enmod mod_headers 


-κι επανεκκινούμε τον Apache ώστε va ληφθούν υπόψη οι αλλαγές γιατον HTTPS 
virtual host: 


vatnajokull:~ # systemctl status apache2.service 


Πηγαίνοντας ξανά στο https://www.sslilabs.com και πραγματοποιώντας τους ελέγ- 
χους, µε πολλή χαρά διαπιστώσουμε ότι η συνολική µας αξιολόγηση πλέον εἰναι 
"A+". 


Αυτόματη ανανέωση 


Τα πιστοποιητικά που εκδίδει το Let's Encrypt διαρκούν για τρεις μήνες. Αν λοιπόν 
δεν έχουµε φροντίσει για την έγκαιρη ανανέωση του δικού µας, οι επισκέπτες του 
site θα βλέπουν τη γνωστή, ανησυχητική προειδοποίηση περί ληγµένου πιστοποιη- 
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Activities @ SSL Server Test: vatnajokull.colder.xyz (Powered by Qualys SSL Labs) -.. ~ Sat 28 Jan, 20:39 


ΕΙ SSL Server Test: vatn.. x \ + 


€) © @ | https://www.sstlabs.com/ssitest/analyze. html? d=vatnajokull.colder.xyz @ |/Q Search wea δ α 9 “ Ὁ ε|Ξξ 
. ΙΑ Home Projects Qualys.com Contact 

QUALYS' SSL LABS 
You are here: Home > Projects > SSL Server Test > vatnajokull,colderxyz 
SSL Report: vatnajokull.colder.xyz (38.99.14.133) 
Assessed on: Sat, 28 Jan 2017 19:38:45 UTC | Hide | Clear cache Scan Another » 

Summary 

Overall Rating 
n ” 
ne ο... ο 


Visit our documentation page for more information, configuration guides, and books. Known issues are documented here. 


Certificate #1: RSA 2048 bits (SHA256withRSA) 


Server Key and Certificate #1 


vatnajokull.colderxyz 
Subject Fingerprint SHAT: cee2eb416121 


Αξιολόγηση "A+" για τις συνδέσεις TLS/SSL που υποστηρίζει o Apache pac! Extra bonus: H 
υλοποίηση επιθέσεων Man-in-The-Middle προς To site µας καθίσταται εξαιρετικά δύσκολη υπόθεση. 


τικού. H ανανέωση των πιστοποιητικών επιτυγχάνεται µε τη βοήθεια του certbot- 
auto. Μπορούμε βεβαίως να φτιάξουμε Eva cronjob για Tov root, το οποίο θα φροντί- 
ζει yt αυτή τη δουλειά αυτόματα. Ξεκινάμε πληκτρολογώντας 


vatnajokull:~ # crontab -e 


κι αµέσως προσθέτουμε µια νέα εργασία για Tov cron daemon. Δείτε το περιεχόµε- 
νο του δικού µας crontab: 


MAILTO = "" 
45 6 * * 7 /root/bin/certbot-auto renew 


Κάθε Κυριακή στις 06:45 To πρωί καλείται το certbot-auto µε την εντολή renew. Αν 
και µόνον αν το πιστοποιητικό µας πλησιάζει στη λήξη του, τότε Ba ανανεώνεται 
αυτόματα. Παρατηρήστε ότι έχουµε πει στον Cron daemon να µη στέλνει email κάθε 
φορά που εκτελείται κάποιο cronjob για τον root. Σε περίπτωση που παρατηρήσου- 
µε ότι κάτι δεν ἐχειπάει καλά µε την ανανέωση θα ανοίξουμε το αρχείο καταγραφής 
letsencrypt.log, µέσα στον κατάλογο /var/log/letsencrypt. Και µια τελευταία σηµείω- 
ση: Καλό είναι να βάλετε διαφορετική HEPA και wpa στο cronjob σας, WOTE να µην 
πέφτουµε όλοι µαζί πάνω στους servers του Let's Encrypt. 
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Skill: Beginner 
Tags: SSH, public key authentication 


Ενεργοποίηση 
του SSH agent 
σε terminal sessions 


Η προστασία ενός ιδιωτικού κλειδιού SSH µε passphrase προτείνεται 
ενθουσιωδώς όταν μιλάμε για laptop που είναι πιθανό να ξεχάσουμε κάπου 
ή ακόµη και να κλαπεί. Επίσης, To passphrase εἶναι έξυπνη κίνηση όταν 
περισσότεροι απὀ ένας άνθρωποι έχουν πρόσβαση στον ίδιο λογαριασμό χρήστη 
ἡ όταν, πολύ απλά, δεν εμπιστευόµαστε το μηχάνημα στο οποίο βρίσκεται 
αποθηκευμένο κάποιο ιδιωτικό µας κλειδί. 


Κάθε φορά που µια εφαρμογή χρειάζεται πρόσβαση σε ιδιωτικό κλειδί SSH κι αυτό 
είναι προστατευμένο µε passphrase (hitps://deltahacker.gr/?p=16981), αμέσως ζη- 
τείται η πληκτρολόγησή του. Με την προὐπόθεση OTL TO passphrase δίνεται σωστά, 
επιτρέπεται η πρόσβαση στο κλειδί. 


Σε συστήµατα Linux µε σύγχρονο περιβάλλον γραφικών όπως, π.Χ. είναι το GNOME, 
για τη διευκόλυνση του χρήστη ενεργοποιείται ο λεγόμενος ssh-agent. Χάρη o' 
αυτό το εργαλείο, το ιδιωτικό κλειδί παραμένει στη μνήμη καθ’ όλη τη διάρκεια 
της τρέχουσας συνεδρίας (session) κι ο agent αναλαμβάνει εκείνος To public key 
authentication για λογαριασμό άλλων εφαρμογών. Πρακτικά, λοιπόν, δεν χρειάζεται 
να πληκτρολογούμε τόσο συχνά το passphrase ενός ιδιωτικού κλειδιού. Πέρα από 
την ευκολία, η άµεση πρόσβαση σε ένα ιδιωτικό κλειδί SSH, δηλαδή η πρόσβαση o' 
αυτό χωρίς την πληκτρολόγηση passphrase, εἶναι απαραίτητη προὐπόθεση για την 
ορθή λειτουργία scripts τα οποία προὐποθέτουν ότι οι συνδέσεις SSH προς άλλα 
hosts γίνονται χωρίς να ζητείται password ἡ passphrase. 


H κατάσταση εἶναι ελαφρώς διαφορετική όταν συνδεόµαστε στην κονσόλα τερµα- 
τικού ενός απομακρυσμµένου μηχανήματος Linux, αφού τότε δεν θα φορτωθεί αυτό- 
ματα το ssh-agent. Ευτυχώς μπορούμε να το ξεκινήσουμε χειροκίνητα και µετά να 
του δώσουμετοιδιωτικό µας κλειδί. Παρακολουθείστε το ακόλουθο σενάριο, δείτε 
και το συνοδευτικό Screenshot. 


1. Από τον υπολογιστή µας µε hostname το dalvik, συνδεόµαστε σε έναν ano- 
μακρυσμένο Linux host µε hostname To isafjordur. H ταυτοποίηση του χρήστη 
γίνεται µε βάση To public key authentication (https://deltahacker.gr/?p=13357). 
Επειδή στον λογαριασμό µας στο dalvik TO ιδιωτικό κλειδί SSH δεν προστα- 
τεύεται απὀ passphrase, η σύνδεση στο Isafjordur επιτυγχάνεται άµεσα και 
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Virkni [7] pi@nordostbahnhof: ~ v fim 30. mar, 11:46 


Last login: Thu Mar 30 11:36:23 2017 from 10.163.0.239 
Have a lot of fun... 

sub0@isafj6rdur:~> 

sub0@isafj6réur:~> ssh nue 

Enter passphrase for key '/home/sub0/.ssh/id_rsa': 


Skrá Breyta Skoda Leita Skjahermir Hjálp 
cvar@dalvík:~> 
cvar@dalvik:~> ssh isafjordur 


No mail. 

Last login: Thu Mar 30 11:42:32 2017 from charybdis-ext.suse.de 
pi@nordostbahnhof:~ $ logout 

Connection to nue.colder.xyz closed. 


sub0@isafj6rédur:~> 

sub0@isafjoréur:~> eval $(ssh-agent) 

Agent pid 5935 (3) 
sub0@isafjordur:~> ssh-add 


Enter passphrase for /home/sub0/.ssh/id_rsa: 
Identity added: /home/sub0/.ssh/id_rsa (/home/sub0/.ssh/id_rsa) 
sub0@isafj6rédur:~> 


sub0@isafjordur:~> ssh nue 
Welcome to this fiiiiine Raspberry Pi! 


No mail. 

Last login: Thu Mar 30 11:44:19 2017 from charybdis-ext.suse.de 
pi@nordostbahnhof:~ $ logout 

Connection to nue.colder.xyz closed. 


sub0@isafjordur:~> 
sub0@isafjérdur:~> ssh vatnajokull 
Last login: Thu Mar 30 11:42:45 2017 from 195.135.221.2 


Have a lot of fun... 

sub0@vatnajokull:~> logout 

Connection to vatnajokull.colder.xyz closed. 
sub0@isafjéréur:~> β 


Συνδέσεις µέσω SSH σε απομακρυσμένα hosts, βάσει public key authentication. 
Όταν το ιδιωτικό µας κλειδί προστατεύεται από passphrase, ένας τρόπος ώστε va 
*un χρειάζεται” va το πληκτρολογούµε διαρκώς στο τρέχον terminal session είναι 

να δώσουμε το κλειδί στον ssh-agent µε τη βοήθεια του εργαλείου ssh-add. 
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χωρίς va πληκτρολογήσουμε κάτι. [Παρεμπιπτόντως, χάρη στα SSH aliases 
(https://deltahacker.gr/?p=14040) ξεκινήσαμε τη σύνδεση στο isafjordur πλη- 
κτρολογώντας, απλά, ssh isafjordur] 


2. Αργότερα, από το isafjordur θέλουμε να συνδεθούµε -πάντα µέσω 55ῃ- σε 
éva Raspberry Pi στο σπίτι, µε hostname το nue. Και πάλι η ταυτοποίηση γίνε- 
ται µε βάση το public key authentication, τώρα όµως το ιδιωτικό µας κλειδί 
στο isafjordur προστατεύεται µε passphrase. Πριν λοιπόν γίνει έλεγχος για 
το αν επιτρέπεται η σύνδεση στο nue, µας ζητείται η πληκτρολόγηση του εν 
λόγω passphrase. Το δίνουμε κι όλα προχωρούν κανονικά. 


3. Μετά απόλίγο αποσυνδεόµαστε από TO nue. Σκεφτόµαστε ότιγιατο υπόλοιπο 
που θα μείνουμε συνδεδεμένοι στο ISafjordur, δεν θα θέλαμε ναπληκτρολογή- 
σουµε ξανάτο passphrase yta TO LOLWTLKO κλειδί που έχουµε εκεί. Πρέπει,λοι- 
πόν, να το δώσουμε στον ssh-agent. Ένας *owoTdc* τρόπος για να πετύχουμε 
το σκοπό µας εἶναι να πληκτρολογήσουμε 


«υρθθίςαΤ]δγδιγ:-Σ eval $(ssh-agent) 
και μετά 
sub0@isafjérdur:~> ssh-add 


Το γιατί τρέξαµε το ssh-agent μέσω του eval θα το δούμε σε λίγο. Προς το 
παρόν, ας σημειώσουμε OTL µε τη βοήθεια του εργαλείου ssh-add πληκτρο- 
λογούμε TO passphrase του ιδιωτικού μας κλειδιού κι ο ssh-agent το διαβά- 
ζει και το κρατά στη μνήμη, για όσο παραμένουµμε συνδεδεμένοι στο τρέχον 
terminal session. 


Δείτε, τώρα, OTL συνδεόµαστε στο nue χωρίς πληκτρολόγηση passphrase... 


5. ...καιτο ἰδιο ισχύει και για συνδέσεις σε άλλα hosts, όπως είναι το vatnajokull, 
στα οποία έχουµε πρόσβαση µέσω SSH και µε public key authentication. 


Πατί δεν τρέξαμε To ssh-agent απευθείας αλλά µέσω του eval; H απάντηση εἰναι 
στο man page Tou ssh-agent. Με λίγα λόγια, αν ενεργοποιήσουμε το πρόγραμμαπλη- 
κτρολογώντας κάτι σαν ssh-agent bash, αρχικοποιούνται ορισμένες μεταβλητές 
περιβάλλοντος οι οποίες περνάνε σε ένα νέο κέλυφος BASH. Σ' αυτό το νέο κέλυ- 
φος τρέχουμε TO ssh-add, το πρόγραμμα εξετάζει τις τιμές των προαναφερθέντων 
μεταβλητών και χάρη σ' αυτές µπορεί και δίνει το ιδιωτικό κλειδί στον ssh-agent. 
Εμείς όµως Sev θέλουμε να ξεκινήσουμε ένα νέο κέλυφος, το παρόν στο οποίο si- 
μαστε συνδεδεμένοι µας κάνει µια χαρά. Ακριβώς γι αυτό τρέχουμε το ssh-agent 
μέσω του eval, το οποίο βλέπει τις νέες μεταβλητές που αρχικοποιεί το ssh-agent 
και τις διατηρεί στο παρόν session. Έτσι, το ssh-add δεν έχει κανένα πρόβλημα επι- 
κοινωνίας µε το ssh-agent. 
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Skill: Intermediate 
Tags: online storage, WebDAV 


Storage box 
για Tov cloud server 
κι όχι µόνο 


Είμαστε βέβαιοι ότιτο VPS σας διαθέτει τα χαρακτηριστικά που απαιτούνται 
YLA TLG δικτυακές σας εφαρμογές, υποψιαζόμαστε όµως ότι ίσως υστερεί σε 
αποθηκευτικό χώρο. Ευτυχώς αρκετοί providers έχουν αρχίσει να προσφέρουν 
τη δυνατότητα για αγορά έξτρα χώρου, σε ξεχωριστά δικτυακά volumes. 


Ένα τέτοιο volume το προσαρτάτε στον Server σας, άσχετα αν αυτός είναι τοπικός ή 
βρίσκεται κάπου στο cloud. Αν κάποια στιγµή θελήσετε περισσότερο χώρο, εὐκολα 
μπορείτε και να µεγαλώσετε το volume «χωρίς απώλεια δεδοµένων. Είναι ακόµη 
δυνατό να μικρύνετε το volume, αρκεί βέβαια τα αποθηκευμένα δεδοµένα να "χω- 
ρούν" στο νέο μέγεθος. 


a? Hetzner Online Gmb.. x + 


€) © @ Hetzner Online GmbH (DE) | https://robot. your-server.de/order ς |[Q Search πο 4 Ὁ “ᾱ or = 
a bot istos Varelas n 
a (ΟΌΟ in as: mmm 
Administration 9 Ordering 
Master data 
πες Storage Boxes BX a 
SARE Storage Box BX10 Storage Box BX20 
Invoices 
etting ace 5 
ας P, Samba/CIFS, HTTPS, Samba/CIFS, HTTPS, 


Main functions 2) 
2 TB traffic per month 


affic per month 


. a . aS c per month 
Storage boxes more information. more information. more information.. 
Servers 
Traffic statistics 
History 

Service 

Price (monthly): © 3.45 Price (monthly): © 5.83 Price (monthly): € 9.40 
Ordering Setup (once): € 0.00 Setup (once): € 0.00 Setup (once): € 0.00 
Server bidding 


Newsletter Order product Order product Order product 


Fault reports 


Support 


τα Storage Box BX40 Storage Box BX50 Storage Box BX60 
FAQ = 2 TB storage space a 5 TB storage space a 10 TB storage space 
= FTP, FTPS, SFTP, SCP, Samba/CIFS, HTTPS = FTP, FTPS, SFTP, SCP, Samba/CIFS, HTTPS, = FTP, FTPS, SFTP, SCP, Samba/CIFS, HTTPS, 
bDAV ν ν WebDAV 
= 10 TB traffic per month = 15 TB traffic per month = 20 TB traffic per month 
more information more information. more information... 
Price (monthly): © 11.78 Price (monthly): € 26.06 Price (monthly): € 47.48 
Setup (once): € 0.00 Setup (once): € 0.00 Setup (once): € 0.00 


Θα Eexivovoape µε ένα Storage Box BX10, όμως ήδη έχουµε γύρω στα 300GB που θέλουμε να μεταφέρουμε στο cloud. 
Πήραμε λοιπόν ένα Storage Box BX20 γνωρίζοντας ότι a) µετά τη µεταφορά θα µας περισσέψει αρκετός αποθηκευτικός 
χώρος, β) αν κάποια στιγµή στο μέλλον χρειαστούµε περισσότερο χώρο, τότε πολύ εύκολα θα επεκτείνουµε το Storage Box 
χωρίς να χάσουμε δεδομένα. 
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Προσφάτως αγοράσαµε ένα storage volume χωρητικότητας 500GB, το οποίο και 
προσαρτήσαµε σε Eva VPS µε OpenSUSE Leap 42.2. O provider τόσο του VPS όσο 
και του volume ήταν η Hetzner (https://hetzner.de). Η εταιρεία ονομάζει τα volumes 
που προσφέρει ως Storage Boxes, µε το μικρότερο να ξεκινά από τα 100GB (Storage 
Box BX10, στα 3,45 ευρώ/µήνα) και το μεγαλύτερο να φτάνει στα 10TB (Storage Box 
BX60, στα 47,48 ευρώ/μήνα). Όπως ήδη αναφέραμε, εμείς αγοράσαµε éva Storage 
Box BX20, στα 5,83 ευρώ/µήνα, αφού ο συνολικός όγκος των δεδομένων που επιθυ- 
μούμε να έχουµε εκεί είναι κοντά στα 300GB. 


Σημειώστε ότι Eva storage volume µπορείτε va TO εκµεταλλευτείτε ακόµη KL av δεν 
έχετε μηχάνημα (εικονικό ή φυσικό) µε Linux. Στη συνέχεια του παρόντος, WOTÓ- 
σο, δείχνουμε πώς προσαρτούμε ένα Storage Box σε έναν Server µε OPENSUSE Leap 
42.2. Ανάλογα θα εργαστείτε αν αντί για openSUSE χρησιµοποιείτε άλλη διανομή 
του Linux. 


= Hetzner Online Gmb.. x \ + 


€) © @Hetzner Online GmbH (DE) | https://robot- your-server.de/storage e |/Q Search πο 4 9 a Or = 
= Mr Christos Varelas (A) [2] © 
εἲ robot Logged in ας: — ith: deactivated 
Administration (=) Storage Boxes 
Master data 
Passwords all types J 
2-factor auth 
Invoices 
Settings 
Main functions BX20 #135020 vatnajokull 
Storage boxes Storage box data Snapshots 
Servers 
Traffic statistics 
History Current product BX20 


Service 


Ordening Server u146187.your-storagebox (T) 
Server bidding 
Newsletter User name (2) 146187 


Fault reports 


a u146187.your-storagebox.de/backup 
R Samba/CIFS share u146187, your-storagebox.de/backur 
Requests 
WebDAV support @ Enable 
FAQ 
Samba support @ disable (3) 
Display snapshot directory @ enable 
Disk usage 0 GB / 0 GB / 500 GB 


Reset password Change storage box Cancel storage box 


Είναι σηµαντικό να σημειώσουμε Κάπου το πλήρες όνομα (fully qualified domain name, FQDN) του server στον 
οποίο φιλοξενείται και διατίθεται To volume µας. Στο παράδειγµα, το εν λόγω πλήρες όνομα είναι το u146187. 
your-storage.box (1). To δε hostname του server, δηλαδή αυτό το 146187, είναι και TO username του λογαριασμού 
μας εκεί (2). Παρατηρήστε ότι To volume είναι διαθέσιμο µέσω του πρωτοκόλλου CIFS (Samba support, 3). Το 
συγκεκριµένο πρωτόκολλο βολεύει ιδιαίτερα ειδικά αν σκοπεύουµε να προσαρτήσουµε το volume ano μηχάνημα 
µε Windows. Εμείς δεν πρόκειται να κάνουμε κάτι τέτοιο, αφού µας ενδιαφέρει η προσάρτηση µόνο από εκείνο TO 
VPS µε To openSUSE. Π' αυτό -αλλά και για λόγους ασφαλείας-- µε δύο μόλις κλικ απενεργοποιούµε το Samba 
support κι ενεργοποιούµε το WebDAV support. Avapépape εξάλλου ότι στον u146187.your-storage.box υπάρχει 
ένας λογαριασμός µας, µε username Το 146187. Ποιο όµως είναι το αντίστοιχο password; Για να To μάθουμε, 
αρκεί ένα κλικ στο κουμπί Reset password (4). Εμφανίζεται τότε ένα pop-up και καλούμαστε να επιβεβαιώσουμε 
τη δηµιουργία νέου password. Απαντάµε καταφατικά, µε κλικ στο ΟΚ. 
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st Hetzner Online Gmb.. κ᾿ + 


€ | © @ Hetzner Online GmbH (DE) | https://robot.your-server.de/storage ς | [Q Search 


a robot 


Administration (=) Storage Boxes 
Master data 


Passwords BX20 #135020 vatnajokull: 


2-factor auth ‘Snapshots 
Invoices 


Settings 


Main functions 
Reset of the password was successful. This is your new password. 
Storage boxes 


Servers Password nýtt asgangsorsis 
Traffic statistics Please note that the password cannot be displayed again later. 
History 
Service 
aena Current product ΒΧ20 
Server bidding 
eae Server u146187.your-storagebox.de 
Fault reports 
User name u146187 
Support 
Requests Samba/CIFS share //W146187.your-storagebox.de/backup 
Fag 
WebDAV support @ disable 
Samba support @ enable 
Display snapshot directory @ enable 


Disk usage 0 GB / 0 GB / 500 eB C 


Reset password Change storage box Cancel storage box 


Μετά To Reset password to νέο συνθηματικό του χρήστη u146187 εμφανίζεται προσωρινά, στο πράσινο πλαίσιο πάνω πάνω. 
Πρέπει να το σημειώσουμε κάπου, αφού µε το που θα φύγουμε από τη σελίδα το password δεν θα εμφανίζεται κάπου αλλού. 


Προετοιμασία 


Μετά την επιλογή και αγορά Storage Box από τη Hetzner, το βρίσκουμε από το μενού 
αριστερά επιλέγοντας Main functions / Storage boxes. Κάνουμε ένα κλικ πάνω στη 
γραμμή του -η ονομασία της γραμμής στην περίπτωση µας ήταν BX20 #135020- κι 
αμέσως αποκτάµε πρόσβαση σε όλες τις λεπτομέρειες που το αφορούν. Δείτε τα 
δύο screenshots που ακολουθούν, διαβάστε βεβαίως και τις αντίστοιχες περιγρα- 
φές. 

Στο σηµείο αυτό έχουµε ότι χρειαζόμαστε προκειµένου να προσαρτήσουµε TO 
volume στο VPS µας, κατά το πρωτόκολλο WebDAV. Το θέµα είναι ότι το openSUSE 
δεν το γνωρίζει, οπότε κάτι πρέπει να κάνουμε και γι αυτό. 


To WebDAV για το openSUSE 


Πολύ γρήγορα διαπιστώσαμε OTL το λειτουργικό του VPS µας δεν υποστήριζε TO 
πρωτόκολλο WebDAV. Αρχικά, ψάχνοντας στα repositories (αποθετήρια) της διανο- 
unc δεν βρήκαμε κάποιο σχετικό πακέτο. Κοιτάζοντας µετά και στο web, µε χαρά 
διαπιστώσαμε ότι αρκεί να προσθέσουμε στο σύστημα Eva VEO repository, το οποίο 
μάλιστα υποστηρίζεται επίσημα από To project του openSUSE. Ευχάριστη η εξέλιξη, 
διότι διαφορετικά πρέπει να μπλέξουμε µε μεταγλωττίσεις απὀ TO source. Χάρη σ' 
αυτό το repository, όµως, μπορούμε πολύ εύκολα να επαυξάνουµε τις ικανότητές 
της διανομής όσον αφορά στα filesystems. Η προσθήκη του εν λόγω αποθετηρίου 
γίνεται πληκτρολογώντας κάτι σαν αυτό: 


sub0@vatnajokull:~> sudo zypper ar http://download.opensuse.org/repositories/ 
filesystems/openSUSE_Leap_42.2 'Leap422 Filesystems' 
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Αμέσως µετά ακολουθεί το φρεσκάρισµα των πληροφοριών για τα περιεχόμενα 
των αποθετηρίων: 


cvar@vatnajokull:~> sudo zypper ref 


Επειδή μόλις προσθέσαµε TO νέο αποθετήριο για την υποστήριξη πρόσθετων 
filesystems, το zypper σταματά και µας ρωτά AV εμπιστευόµαστε το δημόσιο κλειδί 
του repository: 


New repository or package signing key received: 


Repository: Leap422 Filesystems 

Key Name: filesystems OBS Project <filesystems@build.opensuse.org> 
Key Fingerprint: B1FB5374 87204722 05FA6019 98C97FE7 324Ε6311 

Key Created: pri 19.jUl 2016, 16:36:42 CEST 

Key Expires: fim 27.sep 2018, 16:36:42 CEST 

Rpm Name: gpg-pubkey-324e6311-578e3afa 


Do you want to reject the key, trust temporarily, or trust always? [r/t/a/? 
shows all options] (r): 


Μπορούμε να εμπιστευτούµε το κλειδί για την παρούσα λειτουργία της ανανέω- 
σης, καθώς και για όλες όσες ακολουθήσουν: απλά πατάµε το πλήκτρο [A] (από το 
"Always') και δίνουμε ένα [Enter]. 


Μετά το φρεσκάρισµα, σειρά έχει η εγκατάσταση του πακέτου για την υποστήριξη 
του WebDAV: 
sub0@vatnajokull:~> sudo zypper -n in davfs2 
Τέλεια όλα. 
Προσάρτηση του Storage Box 
Πριν τη σύνδεση του volume στο τοπικό filesystem, φτιάχνουμε έναν βολικό κατάλο- 
yo κάτω από τον οποίο θα γίνει η προσάρτηση. Παράδειγμα: 
sub0@vatnajokull:~> sudo mkdir /mnt/sbox 
Είμαστε έτοιμοι για την προσάρτηση: 
sub0@vatnajokull:~> sudo mount -t davfs https://u146187.your-storagebox.de / 


mnt/sbox 
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Θα ερωτηθούµε για username Kal password. To username είναι To hostname του 
μηχανήματος όπου βρίσκεται το volume (στο παράδειγμά µας ul46187), ενώ το 
password είναι αυτό που εμφανίστηκε στο web panel της Hetzner και βεβαίως σηµει- 
ώσαμε προσεκτικά. Αν όλα έχουν πάει καλά, στην έξοδο του εργαλείου df 8a δούμε 
και µια γραμμή που αντιστοιχεί στο απομακρυσμένο volume: 


sub0@vatnajokull:~> df -hT 


Filesystem Type Size Used Avail Use% Mounted on 
devtmpfs devtmpfs 979M 0 979M 0% /dev 

tmpfs tmpfs 1000M 0 1000M 0% /dev/shm 

tmpfs tmpfs 1000M 1.7M 999M 1% /run 

tmpfs tmpfs 1000M 0 1000M 0% /sys/fs/cgroup 
/dev/sdat ext4 47α 3.1G 42G 7%/ 

tmpfs tmpfs 200M 0 200M 0% /run/user/0 
tmpfs tmpfs 200M 0 200M 0% /run/user/1000 


Τα νούμερα που παρατίθενται στις στήλες Size και Used δεν έχουν σημασία, υπό 
την έννοια OTL δεν αντικατοπτρίζουν µε ακρίβεια ούτε το μέγεθος του volume µας, 
επομένως ούτε και τον όγκο των δεδοµένων που έχουµε αποθηκεύσει εκεί. Σηµα- 
σία EXEL μόνο το νούμερο στη στήλη Avail, το οποίο εἶναι ακριβές κι ανά πάσα στιγµή 
εκφράζει τον αποθηκευτικό χώρο που διαθέτουμε. Ας ρίξουμε και µια ματιά εντός 
του καταλόγου /mnt/sbox: 


sub0@vatnajokull:~> 15 -lh /mnt/sbox 
total 0 
drwx------ 2 root root 0 Feb 25 18:06 lost+found 


Όπως βλέπετε, στο Storage Box προς το παρόν υπάρχει μόνον ο κατάλογος lost_ 
found. Αυτός δημιουργήθηκε αυτόματα κατά τη διαµόρφωση του αποµακρυσμένου 
filesystem. Θα προσέξατε OTL ανήκει στον χρήστη root, ενώ και η ομάδα του εἰναι 
εκείνη του root. Εμάς πάντως µας βολεύει περισσότερο όταν η προσάρτηση γίνεται 
από Tov «απλόχ χρήστη που έχουµε στο VPS µας. Πα τη συγκεκριμένη διευθέτηση, 
αρχικά αποπροσαρτήσαµε το volume... 


sub0@vatnajokull:~> sudo umount /mnt/sbox 
«βρήκαμε To id του χρήστη µας και της ομάδας του... 


sub0@vatnajokull:~> id sub0 
uid=1000(sub0) gid=100(users) groups=100(users) 


και µετά προσαρτήσαµε ξανά we εξής: 


56 


Storage box για τον cloud server κι ὀχι μόνο 
sub0@vatnajokull:~> sudo mount -t davfs -o uid=1000,gid=100 https://u146187. 
your-storagebox.de /mnt/sbox 


H ἐξοδος του df απέδειξε ότι µετά την προσάρτηση την πλήρη δικαιοδοσία επί του 
volume την είχε ο χρήστης µας, όπως ακριβώς το θέλαμε: 


sub0@vatnajokull:~> ls -lh /mnt/sbox 


total 0 
drwx------ 2 sub0 users 0 Feb 25 18:09 lost+found 
Αυτοματισµός 


Κάθε φορά που το VPS ενεργοποιείται ή επανεκκινεί, θέλουμε το Storage Box να 
προσαρτάται αυτόματα. Προς τούτο, µε δικαιώµατα διαχειριστή συστήµατος αρκεί 
να προσθέσουμε στο αρχείο /etc/fstab µία γραμμή σαν την ακόλουθη: 


https ://u146187.your-storagebox.de /mnt/sbox davfs 
noauto, rw, uid=1000, 614-100, file_mode=0660,dir_mode=0770 0 0 


Me τη σηµασίατων παραμέτρωνπου έχουµε παραθέσει µετά TO "davfs" δεν θα ασχο- 
ληθούμε τώρα, µπορείτε όµως να μάθετε περισσότερα πληκτρολογώντας 


sub0@vatnajokull:~> man mount.davfs 


(amo το man βγαίνουµε πατώντας, απλά, το πλήκτρο [Q]). Θα πούμε µόνο για την 
επιλογή "noauto", η οποία εξαιρεί To filesystem από την εντολή mount -a Tou εκτελεί- 
ται κατά την εκκίνηση του λειτουργικού και συνεπώς *SEV* προσαρτάται αυτόματα. 
Είναι βεβαίως λίγο αντιφατικό όλο αυτό, αφού “θέλουμε” να προσαρτάται αυτόµα- 
τα. Το πρόβλημα εἰναι ότι η προσάρτηση επιχειρείται πριν ακόµα αρχικοποιηθεί το 
υποσύστηµα δικτύωσης, εποµένως αποτυγχάνει. Το μυστικό εδὠ εἰναι ότι πρέπει 
να καθυστερήσουµε την προσάρτηση του απομακρυσμένου volume — ει δυνατόν να 
την αφήσουμε για το τέλος, όπου όλες οι υπηρεσίες TOU openSUSE θα έχουν ενερ- 
γοποιηθεί και ρυθμιστεί. Θα δούµε σε πολύ λίγο πώς ακριβώς πετυχαίνουµε αυτή 
την καθυστερημένη προσάρτηση. Προς το παρόν, να σημειώσουμε ότι στο τέλος 
του αρχείου /etc/davfs2/secrets πρέπει να βάλουμε µια γραμμή που θα μοιάζει µε 
την ακόλουθη: 


https: //u146187.your-storagebox.de 146187 super_secret_password 


Στο αρχείο /etc/davfs2/secrets ἐχειπρόσβασηο χρήστης root Kar κανείς άλλος.Ταπε- 
ριεχόµενά του διαβάζονται κάθε φορά που επιχειρείται προσάρτηση ενός WebDAV 
volume. Ἐτσιγιατις προσαρτήσεις όπου απαιτούνται username και password τα αντί- 
στοιχα στοιχεία βρίσκονται εντός του καλά προστατευµένου Secrets κι όχι µέσα στο 
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fstab, To οποίο μπορούν να διαβάζουν ακόµη και OL απλοί χρήστες του συστήµατος. 
Ας δούμε τωραπως µετάτο τέλος της εκκίνησης του λειτουργικού θα προσαρτάται 
αυτόματα το Storage Box µας. Υπάρχουν βεβαίως περισσότεροι του ενός τρόποι για 
να συμβαίνει αυτό, ο ευκολότερος όµως (owe εἰναι µε Eva νέο cronjob. Αναλυτικό- 
τερα, πληκτρολογούμε 


sub0@vatnajokull:~> sudo crontab -e 
και στο τέλος του αρχείου crontab προσθέτουμε µια γραμμή σαν την ακόλουθη: 
@reboot /usr/bin/mount /mnt/sbox 


Αποθηκεύουμε την αλλαγή και για δοκιμή επανεκκινούµε TO VPS µας. Αν όλα έχουν 
πάει καλά -που δεν βλέπουμε το λόγο για να µην έχουν πάει, δηλαδή- τότε το 
Storage Volume θα εἶναι προσαρτηµένο και πλήρως προσβάσιμο από τον χρήστη 
μας. 


Από τις πολλές εφαρμογές που βρίσκει το Storage Box, µία που μπορούμε να OKE- 
φτούμε είναι ν' αποτελέσει το χώρο αποθήκευσης για Eva Nextcloud instance στο 
cloud. Όπως Kal va TO κάνουμε, το data directory του Nextcloud δεν είναι απαραίτητο 
να κατοικεί στην ίδια κατάτμηση που κατοικεί κι ο Web server. 


cvar@holmavik:~ 


Skrá Breyta Skoda Leita Skjahermir Hjálp 


sub0@vatnajokull:~> 

sub0@vatnajokull:~> cat /etc/fstab 

proc /proc proc defaults 0 0 

# /dev/sdal during Installation (RescueSystem) 

UUID=0e51840f-8cb4-43bd-898f-36b429c81b68 / ext4 defaults,discard 0 0 D 


to,rw,uid=1000,gid=100,file_mode=0660,dir_mode=0770 0 0 


https: //u146187.your-storagebox.de /mnt/sbox davfs no 
sub0@vatnajokull:~> 

sub0@vatnajokull:~> sudo tail /etc/davfs2/secrets 

It must contain the name of the certificate file and the encryption 
password. The name must be either absolute (starting with /) or the 
file-name only. If it is not absolute, it is assumed to be in the 
standard directory for client certificates. 


πε 


πε πε πὲ 


Examples 

/home/otto/.davfs2/certs/private/otto.crt geheim 
otto_private.crt "this is extraordinary secret" 
# "otto private.crt" this\ is\ secret,\ too. 


https: //u146187.your-storagebox.de u146187 


sub0@vatnajokull: ~> (2) 


Στις επιλογές που υπάρχουν στη γραμμή Tou fstab για την προσάρτηση του απομακρυσμένου Storage 
Box µέσω WebDAV (1), υπάρχει και η noauto: επειδή η προσάρτηση θα επιχειρηθεί πριν ακόµα 
αρχικοποιηθεί το υποσύστηµα δικτύωσης, η διαδικασία θα αποτύχει. Καθυστερούμε, λοιπόν, την 
προσάρτηση και την πραγματοποιούμε µέσω κατάλληλου cronjob (βλ. "@reboot") αµέσως µετά την 
ολοκλήρωση Tou boot. Παρεμπιπτόντως, στο αρχείο /etc/davfs2/secrets πρέπει να υπάρχει µια 
γραμμή µε το URL Tou server που φιλοξενεί το Storage Volume, To username μας εκεί καθώς και TO 
αντίστοιχο password (2). Σημειώστε ότι πρόσβαση στο secrets έχει μόνον ο χρήστης root, ενώ στο 
fstab έχουν δικαιώματα ανάγνωσης ακόµα Kal οι απλοί χρήστες. 


th otk τὲ 
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Ταχύτατα VPSes oto cloud, σε hosts µε δίσµους SSD. 
Επιβογή datacenter σε Ευρώπη, Αμεριµή μαι Ασία. 
Lean-mean control panel, για απόῆυτο έβεγχο. 


Αποητήστε τώρα το δικό oas VPS, 

oto cloud tns DigitalOcean. 

Κάντε KAIK oto http://bit.ly/digocean 1 Ooff 
Kal κερδίστε αυτομάτως 105 σε credit. 


Hint: Επιβέγοντας το µιμρό πϑάνο, 

πάντα με μῆιη στο http: //bit. ly/digocean1 Ooff, 
ουσιαστιµά έχετε δύο µήνες δωρεάν για ένα VPS 
µε 512ΜΒ RAM, 20GB SSD και 1TB transfer. 


ΜΝ Δεν είναι KI άσχημα 


Skill: Intermediate 
Tags: kernel, openSUSE 


Πώς θα έχετε πάντα 
TO νεότερο πυρήνα 
στο openSUSE Leap 


Η έκδοση Tou Linux kernel στο openSUSE Leap 42.2 είναι η 4.4 και φυσικά 
υποστηρίζεται επίσημα amo το openSUSE project. Αυτό σηµαίνει ότι 
ανανεώνεται κάθε φορά που εντοπίζεται κάποιο bug ή πρόβλημα ασφαλείας. H 


βασική έκδοση του πυρήνα, ωστόσο, δεν αλλάζει. 


Συγκεκριµένα, τη στιγµή που γράφονται αυτές οι γραμμές oTo Leap 42.2 έχουμε TOV 
πυρήνα 4.4.49-16.1. Με µια βόλτα στο δικτυακό τόπο kernel.org, όπου δημοσιεύονται 
διαρκώς οι νέες εκδόσεις του πυρήνα, βλέπουμε ότι η πλέον πρόσφατη έκδοση 
εἶναι η 4.10.1. Πώς άραγε αναβαθµίζουµε το openSUSE µας ώστε να βασίζεται στο 
νεότερο πυρήνα; 

Ένας τρόπος εἰναι να κατεβάσουµμε To source code Tou kernel, va τον µεταγλωτ- 
τίσουµε και µετά να τον εγκαταστήσουμε. Το πώς ακριβώς εργαζόµαστε σε µια 
τέτοια περίπτωση µπορείτε να δείτε σε σχετικό βίντεο που έχουμε ετοιμάσει 
(https://deltahacker.gr/?p=16567). Εναλλακτικά μπορούμε να προσθέσουμε OTO AEL- 
τουργικό éva νέο repository (αποθετήριο) απὀ το OpenSUSE project, το οποίο περι- 
λαμβάνει πακέτα RPM µετις νεότερες εκδόσεις του πυρήνα. Κατ’ αυτόν τον τρόπο 
παρακάµπτουµμε το εξαιρετικά χρονοβόρο στάδιο της µεταγλώττισης από το Source 
code, ενώ παίρνουμε κι έναν πυρήνα µε patches ειδικά για TO openSUSE. 


Πα την προσθήκη του νέου αποθετηρίου γράφουμε: 


cvar@holmavik:~> sudo zypper ar -f \ 

> http://download.opensuse.org/repositories/Kernel:/HEAD/standard \ 
> '"Leap422 Kernel' 

Adding repository 'Leap422 Kernel’ m E [done] 
Repository 'Leap422 Kernel' successfully added 


URI : http://download.opensuse.org/repositories/Kernel: /HEAD/standard 


Enabled : Yes 
GPG Check : Yes 
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Autorefresh : Yes 
Priority : 99 (default priority) 


Repository priorities are without effect. All enabled repositories share the 
same priority. 


Όλα Ta repositories του λειτουργικού, συμπεριλαμβανομένου κι εκείνου που μόλις 
προσθέσαµε, τα βλέπουμε πληκτρολογώντας: 


cvar@holmavik:~> zypper Ir 


Repository priorities are without effect. All enabled repositories share the same priority. 


# | Alias Name Enabled | GPG Check 
Refresh 

ep erg ean eee ΕΕ See Sete eS see eae ae aes Ree ee See Se Sete Ss, ees 
1 | Leap422 Kernel Leap422 Kernel Yes ( p) Yes Yes 
2 | download. opensuse. org-filesystems Leap422 Filesystems Yes (r ) Yes Yes 
3 | download.opensuse.org-non-oss Leap422 Main Repository Νοη-055 Yes (r ) Yes Yes 
4 | download. opensuse.org-non-oss_1 Leap422 Main Repository Non-OSS Updates | Yes (r ) Yes Yes 
5 | download.opensuse.org-oss Leap422 Main Repository OSS Yes (r ) Yes Yes 
6 | download.opensuse.org-oss_1 | Leap422 Main Repository OSS Updates Yes (r ) Yes Yes 
7 | opensuse-guide.org-repo | Leap422 LibDVDCSS Yes (r ) Yes Yes 
8 | packman.inode.at-suse | Leap422 Packman Yes (r ) Yes Yes 


Στη συνέχεια φρεσκάρουµε τα περιεχόμενα των repositories του openSUSE µας: 


cvar@holmavik:~> sudo zypper ref 

Repository 'Leap422 Filesystems' is up to date. 

Retrieving repository 'Leap422 Kernel' metadata ............. [done] 
Building repository 'Leap422 Kernel’ cache .................. [done] 
Repository 'Leap422 Main Repository Non-OSS' is up to date. 
Repository 'Leap422 Main Repository Non-OSS Updates' is up to date. 
Repository 'Leap422 Main Repository OSS' is up to date. 

Repository 'Leap422 Main Repository OSS Updates' is up to date. 
Repository 'Leap422 LibDVDCSS' is up to date. 


Repository 'Leap422 Packman’ is up to date. 


All repositories have been refreshed. 
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Προκειμένου ν’ αναβαθµίσουµε το λειτουργικό σύστημα χρησιµοποιώντας TO νέο 
kernel repository, δίνουμε: 


cvar@holmavik:~> sudo zypper dup --repo='Leap422 Kernel' 


Σηµείωση. Ma Tic αναβαθμίσεις από συγκεκριµένο repository καλό εἶναι va απο- 
φεύγουμε την παράμετρο --repo και στη θέση της να χρησιμοποιούμε τη --from. 
Σε αντίθεση µε τη --repo, η παράμετρος --from «δεν: κρύβει από τον resolver 
τα ενεργοποιημένα αποθετήρια της εγκατάστασής µας που «δεν αναφέρονται 
στην εντολή αναβάθμισης. Έτσι, σε περίπτωση που χρειάζεται να ικανοποιη- 
θούν dependencies (εξαρτήσεις) λαμβάνονται «όλα” τα απαραίτητα αποθετήρια 
υπόψη. 


Μετά τη διαδικασία της αναβάθμισης οφείλουμε να επανεκκινήσουµε το σύστημα: 
cvar@holmavik:~> sudo reboot 


Αφού To reboot ολοκληρωθεί, ένας τρόπος για να επαληθεύσουµε OTL πράγματι 
έχουµε τη νέα έκδοση του πυρήνα είναι να γράψουμε: 


cvar@holmavik:~> uname -a 
Linux holmavik.colder.xyz 4.10.0-1.g12a7a6d-default #1 SMP PREEMPT 
Mon Feb 20 13:08:30 UTC 2017 (12a7a6d) x86_64 x86_64 x86_64 GNU/Linux 


Χαρείτε το νέο σας Leap! 


lau 4. mar, 21:229 


Leita Skjahermir Hjálp 


cvar@holmavik:~> 
cvaręholmavik:~> zypper lr 
Repository priorities are without effect. All enabled repositories share the same priority. 


# | Alias | Name | Enabled | GPG Check | Refresh 
e - === === === === === +--+ fiaa aa amn aea ---- === === === +--+ μμ. jiamai μυ. 
1 | download. opensuse.org-filesystems | Leap422 Filesystems | Yes | (r ) Yes | Yes 
2 | download. opensuse. org-kernel | Leap422 Kernel | Yes | (r ) Yes | Yes 
3 | download. opensuse. org-non-oss | Leap422 Main Repository Νοπ-055 | Yes | (r ) Yes | Yes 
4 | download.opensuse.org-non-oss_1 | Leap422 Main Repository Non-OSS Updates | Yes | (r ) Yes | Yes 
5 | download. opensuse. org-oss | Leap422 Main Repository OSS | Yes | (r ) Yes | Yes 
6 | download. opensuse. org-oss_1 | Leap422 Main Repository OSS Updates | Yes | (r ) Yes | Yes 
7 | opensuse-guide.org-repo | Leap422 Libbvocss | Yes | (r ) Yes | Yes 
8 | packman.inode.at-suse | Leap422 Packman | Yes | (r ) Yes | Yes 


cvar@holmavik:~> 
cvar@holmavik:~> sudo zypper dup —-repo='Leap422 Kernel! 
Loading repository data... 

Reading installed packages... 

Computing distribution upgrade... 


The following NEW package is going to be installed: 
kernel-default-4.10.0-1.1.g12a7a6d 


The following 2 packages are going to be upgraded: 
kernel-firmware ucode-amd 


2 packages to upgrade, 1 new. 


Overall download size: 95,8 MiB. Already cached: 0 B. After the operation, additional 257,5 MiB will be used. 
Continue? [y/n/? shows all options] (y): 


To νέο repository µε τις πρόσφατες εκδόσεις Tou Linux kernel (1) έχει ήδη προστεθεί στο openSUSE μας, και τώρα είμαστε 
έτοιμοι ν’ αναβαθµίσουµε το λειτουργικό σύστημα (2) ώστε να τρέχουμε την πιο νέα έκδοση του πυρήνα. 
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Tags: LEMP, openSUSE, nginx, MariaDB, PHP, server blocks 


Χτίσιμο LEMP stack 
OTO OpenSUSE 


Το ακρωνύμιο LEMP αναφέρεται στο σύνολο του λογισμικού που αποτελείται 
από τον διακομιστή ιστοσελίδων nginx (προφέρεται engine-ex), τη σχεσιακή 
βάση δεδομένων MySQL, τη σκριπτογλώὠσσα PHP και κάποια διανομή του Linux. 
Ένα µηχάνηµα µε LEMP stack, όπως λέμε, είναι ικανό να σερβίρει web sites µε 
δυναμικό περιεχόµενο ή να φιλοξενεί web applications γενικότερα. 


Αν για παράδειγµα θέλετε να βασίσετε το site σας στο WordPress, τότε µία από τις 
επιλογές σας εἰναι ένας server µε LEMP stack. Στο παρόν άρθρο δείχνουμε, ava- 
λυτικά και βήμα προς βήμα, πώς εγκαθιστούµε µια τέτοια στοίβα λογισμικού όταν 
έχουµε έναν host µε openSUSE Leap και αντί yra τη MySQL θέλουμε να χρησιμοποιή- 
σουµε τη MariaDB. Πα την εφαρμογή των ενεργειών που περιγράφουμε µπορείτενα 
εργαστείτε σε éva VPS µε OpenSUSE -οι Hetzner και Linode είναι δύο VPS providers 
που υποστηρίζουν «και το openSUSE- ή, εναλλακτικά, σε µια εικονική μηχανή ἡ σ' 
έναν τοπικό Server. 


VPS µε openSUSE Leap 


Στο https://deltahacker.gr/?p=16962 φιλοξενούμε άρθρογιατην εγκατάσταση και TN 
ρύθμιση του OpenSUSE Leap σε VPS της Hetzner. Όλα όσα παρουσιάζουμε και συζη- 
τάμε για TO openSUSE εφαρμόζονται παρόμοια κι όταν έχετε άλλον provider ἡ όταν 
δουλεύετε σε εικονική μηχανή ή τοπικό Server. 


Προετοιμασία συστήµατος κι εγκατάσταση nginx 


Μέσω SSH συνδεόµαστε στον host µε το openSUSE κι αποκτάµε πρόσβαση στολο- 
γαριασμό του root. Έχουμε βεβαίως τη δυνατότητα να εργαστούμε κι από το λογα- 
ριασµό κάποιου απλού χρήστη, αρκεί αυτός να EXEL τη δυνατότητα ανάληψης δικαι- 
ωμάτων root, T.X., µέσω του εργαλείου sudo. 


Πρώτο µας μέλημα είναι να φρεσκάρουµε τα περιεχόμενα των αποθετηρίων 
(repositories): 


hekla:~ # zypper ref 


Μετά εφαρμόζουμε patches, αν υπάρχουν, µε ενημερώσεις ασφαλείας και bug fixes: 
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hekla:~ # zypper patch 


Ξεκινάμε µε TO πρώτο συστατικό του LEMP stack, το οποίο δεν εἶναι άλλο από τον 
nginx: 


hekla:~ # zypper -n in nginx 
Μετά την εγκατάστασή του στο OpenSUSE, ο nginx δεν τρέχει; 


hekla:~ # systemctl status nginx 
e nginx.service - The nginx HTTP and reverse proxy server 


Loaded: loaded (/usr/lib/systemd/system/nginx.service; disabled; vendor 
preset: disabled) 


Active: inactive (dead) 


Τον ξεκινάμε, λοιπόν... 
hekla:~ # systemctl start nginx 


..PPOVTiZOUUE ώστε η αντίστοιχη υπηρεσία να ενεργοποιείται αυτόματα κατά την 
εκκίνηση του λειτουργικού... 


hekla:~ # systemctl enable nginx 


Created symlink from /etc/systemd/system/multi-user.target.wants/nginx.service 
to /usr/lib/systemd/system/nginx.service. 


..Kal βεβαιωνόμαστε OTL όλα είναι καλά: 


hekla:~ # systemctl status -l nginx 
e nginx.service - The nginx HTTP and reverse proxy server 


Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor 
preset: disabled) 


Active: active (running) since fös 2017-04-14 06:59:56 GMT; 2min 38s ago 
Main PID: 3921 (nginx) 
CGroup: /system.slice/nginx.service 
+3921 nginx: master process /usr/sbin/nginx -g daemon off 
L-3925 nginx: worker process 


Systemd και διαχείριση υπηρεσιών 
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lato Systemd kat Tn διαχείριση υπηρεσιών, όπως είναι εκείνη TOU nginx, μπορείτενα 
διαβάσετε TO σχετικό APEPO που φιλοξενούμε στο https://deltahacker.gr/?p=16816. 
Πιθανώς To firewall να είναι ενεργοποιημένο για τον server µας -ή τουλάχιστον ETOL 
θα ἐπρεπε-, οπότε σ' αυτή την περίπτωση οφείλουμε να βεβαιωθούμε ότι το port 
80/ΤΟΡ είναι ανοικτό. Υποθέτουμε ότι το firewall είναι πράγματι ενεργοποιημένο, 
καθώς κι ότι αρχικά επιτρέπει την πρόσβαση µόνο στο port 22/TCP (για συνδέσεις 
SSH). Παρεμπιπτόντως, να ένας τρόπος για να βλέπουμε την κατάστασή του: 


hekla:~ # systemctl status SuSEfirewall2 
e SuSEfirewall2.service - SuSEfirewall2 phase 2 


Loaded: loaded (/usr/lib/systemd/system/SuSEfirewall2.service; enabled; 
vendor preset: disabled) 


Active: active (exited) since fös 2017-04-14 06:45:59 GMT; 39min ago 
Main PID: 3591 (code=exited, status=0/SUCCESS) 
CGroup: /system.slice/SuSEfirewall2.service 


Πώς του ζητάμε va επιτρέπει και συνδέσεις στο port 80/ΤΟΡ; Υπάρχουν διάφοροι 
τρόποι κι αµέσως τώρα ακολουθούμε έναν ο οποίος θα μπορούσε να λεχθεί ότι 
εἶναι συµβατός µε το "OpenSUSE way". Αρχικά, µεταβαίνουµε στον κατάλογο /etc/ 
sysconfig/SuSEfirewall2.d/services: 


hekla:~ # cd /etc/sysconfig/SuSEfirewall2.d/services 
Ρίξτε µια ματιά στα περιεχόμενά TOU: 


hekla: /etc/sysconfig/SuSEfirewall2.d/services # ls -lh 
total 32K 
-rw-r--r-- 1 root root 146 jul 22 2016 mosh 
root root 707 apr 5 12:11 nfs-client 
root root 343 des 19 17:18 ntp 


1 
-rw-r--r-- 1 
1 

-rw-r--r-- 1 root root 762 okt 8 2016 rsync-server 
1 
1 
1 
1 


-rw-r--r-- 


root root 126 mar 29 14:35 samba-client 
root root 375 okt 8 2016 smtp 

root root 135 jan 25 08:51 sshd 

root root 1,5K okt 7 2016 TEMPLATE 


-rW-r--r-- 
-rw-r--r-- 
-rw-r--r-- 
-rw-r--r-- 
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Διάφορες υπηρεσίες αφήνουν εδώ αρχεία ρυθμίσεων για TO SUSEfirewall2. Στα ev 
λόγω αρχεία κατ' ελάχιστον παρατίθενται τα ports που πρέπει να εἶναι ανοικτά για 
το External Zone του firewall. Το πακέτο nginx που μόλις εγκαταστήσαµε δεν έχει 
αφήσει κάποιο σχετικό αρχείο στον κατάλογο services. Π' αυτό κι εμείς Θ' αντιγρά- 
poupe το TEMPLATE, μετονομάζοντάς το σε nginx: 


hekla: /etc/sysconfig/SuSEfirewall2.d/services # cp TEMPLATE nginx 
Το τροποποιούµε καταλλήλως µε τον text editor της προτίμησής µας: 
hekla: /etc/sysconfig/SuSEfirewall2.d/services ἡ vi nginx 
Δείτε τα περιεχόμενα TOU δικού µας nginx: 


## Name: nginx 

## Description: Open ports 80/TCP & 443/TCP for the nginx web server 
# space separated list of allowed TCP ports 

TCP="80 443" 


Αν και πριν λίγο σκεφτήκαμε ν' ανοίξουμε το port 80/TCP yia απλές συνδέσεις HTTP, 
ανοίξαμε τελικά και TO port 443/ΤΟΡ για ασφαλείς συνδέσεις HTTPS. Είτε φτιά- 
ἔουμε το δικό µας self-signed πιστοποιητικό είτε πάρουμε Eva έγκυρο από το Let's 
Encrypt project, µε μηδενικό κόστος θα παρέχουμε ασφαλείς συνδέσεις TLS για τα 
sites και τις εφαρμογές που φιλοξενεί ο nginx. Αλλά για το όλο θέµα θα συζητήσου- 
µε σε άλλο άρθρο, µε την ἀνεσή µας. Προς το παρόν, ας υποδείξουµε στο firewall Ta 
δύο νέα ports Ta οποία πρέπει να εἶναι ανοικτά. Καταφεύγουµε στο module Tou YaST 
ονόματι firewall: 


hekla: /etc/sysconfig/SuSEfirewall2.d/services ἡ yast firewall 


Στο screenshot που ακολουθεί φαίνεται το πώς ανοίξαµε τα δύο ports του nginx για 
το External Zone του firewall. 


Αφού εγκαταλείψουµε TO YaST, ας βεβαιωθούμε ότι Ta ports 80/ΤΟΡ και 443/TCP 
είναι ανοικτά: 


hekla:~ # iptables -S 


[...] 

-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 80 --tcp-flags 
FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options 
--log-ip-options 
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YaST2 - firewall @ hekla 


Firewall Configuration: Allowed Services 


5 -art-Up lowed Se 
Sica fen Zone; t 
\Llowed Services 

las ng 5: 


Mosh Server UDP ports#: SSS a a ος [ _ dd 1 


nginx i opens ports 80/TCP and 443/TCP for the nginx web server 


Delete 


Χάρη στο module του YaST ονόματι firewall, είναι πολύ εύκολο να επιτρέψουμε την 
πρόσβαση από τον έξω κόσμο στα δύο ports που χρησιμοποιεί o nginx web server. 


-A input_ext -p tcp -m tcp --dport 80 -j ACCEPT 

-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 443 --tcp-flags 
FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options 
--log-ip-options 

-A input_ext -p tcp -m tcp --dport 443 -j ACCEPT 

[...] 


Μια χαρά όλα, µόνο που ξεχάσαμε να δούμε τι γίνεται µε τον nginx. Μεταβαίνου- 
µε αµέσως στον κατάλογο /srv/www/htdocs και φτιάχνουμε ένα πολύ απλό αρχείο 
HTML, το οποίο περιλαμβάνει Eva σύντομο μήνυμα καλωσορίσματος (σε όποια 
γλωσσα θέλουμε :D): 


hekla:/srv/ww/htdocs 8 


(Το hekla.colder.local εἶναι το FQDN του host µε το openSUSE, για το τοπικό µας õi- 
κτυο.) Ανοίγουμε έναν οποιονδήποτε web browser και στη μπάρα διευθύνσεων γρά- 
poupe το FQDN ή το αριθμητικό IP Tou host µε το openSUSE. Αν δούμε το μήνυμα 
καλωσορίσματος που μόλις πληκτρολογήσαμε, τότε ο nginx είναι πολύ χαρούμενος 
και δουλεύει µια χαρά. 
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999 < Ε ® se hekla.colder.local © (+) [ο] al [+ 


Velkomi0 að nginx @ hekla.colder.local 


Ξεκινώντας από έναν οποιονδήποτε web browser, µε µια σύντομη 
επίσκεψη στο FQDN Tou openSUSE server διαπιστώνουμε ότι ο 
ΠΟΙΠΧ δουλεύει όπως προβλέπεται. Έχουμε ακόµη αρκετή δουλειά 
για ένα πλήρες LEMP stack, καλό είναι όµως να γνωρίζουμε ότι 
βρισκόμαστε στο σωστό δρόμο. 


Βρείτε το “πραγματικά” δημόσιο ΙΡ 


Αν διαθέτουμε κάποιο domain και, για αυτό ἡ για κάποιο subdomain του OXE- 
διάζουµε να δημιουργήσουμε Eva A record που θα δείχνει προς Tov host µε TO 
openSUSE, χρειαζόμαστε το δημόσιο IP του προαναφερθέντος. Προσέξτε OTL 
αυτό δεν είναι κατ’ ανάγκη εκείνο που παρατίθεται στην έξοδο της εντολής 
ip addr, ακόµη κι αν εργαζόµαστε σε VPS (ορισμένοι providers, όπως η Hetzner, 
ἔχουν Ta VPS των πελατών πίσω από NAT firewalls). Ένας τρόπος για να µαθαί- 
νουµε το δημόσιο ΙΡ µε το οποίο ο server µας φαίνεται στο Internet, είναι πλη- 
κτρολογώντας dig +short myip.opendns.com @resolver1.opendns.com. 


Εγκατάσταση και ρύθμιση MariaDB 


H εγκατάσταση της MariaDB γίνεται κατά Ta αναμενόμενα: 
hekla:~ # zypper -n in mariadb 


Με την ολοκλήρωση της διαδικασίας συνειδητοποιούµε OTL υπήρχε κάποιο EVNE- 
ρωτικό μήνυμα, το οποίο όµως δεν εμφανίστηκε λόγω της χρήσης της παραμέτρου 
-n: 


Update notifications were received from the following packages: 
mariadb-10.0.29-18.1.x86_64 (/var/adm/update-messages/mariadb-10.0.29-18.1) 
View the notifications now? [y/n] (n): n 
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To μήνυμα που δεν είδαμε είναι στο αρχείο /var/adm/update-messages/ 
mariadb-10.0.29-18.1, οπότε ας του ρίξουμε μια ματιά τώρα: 


hekla:~ # cat /var/adm/update-messages/mariadb-10.0.29-18.1 
You just installed MySQL server for the first time. 


You can start it using: 
rcmysql start 


During first start empty database will be created for your automatically. 


PLEASE REMEMBER TO SET A PASSWORD FOR THE MariaDB root USER ! 
To do so, start the server, then issue the following commands: 


‘/usr/bin/mysqladmin' -u root password 'new-password' 
‘/usr/bin/mysqladmin' -u root -h <hostname> password 'new-password' 


Alternatively you can run: 
‘/usr/bin/mysql_secure_installation' 


which will also give you the option of removing the test 
databases and anonymous user created by default. This is 
strongly recommended for production servers. 


Μάλιστα. H σηµαντική πληροφορία στο προηγούμενο μήνυμα εἰναι OTL, προκειµέ- 
νου να ἔχουμε µια ασφαλή εγκατάσταση της MariaDB, οφείλουμε να τρέξουµε TO 
script ονόματι /usr/bin/mysql_secure_installation. Πρώτα ενεργοποιούμε την υπηρε- 
σία της MariaDB... 


hekla:~ # systemctl start mysql 
μετά βεβαιωνόµαστε OTL τρέχει... 
hekla:~ # systemctl status mysql 


e mysql.service - MySQL server 


Loaded: loaded (/usr/lib/systemd/system/mysql.service; disabled; vendor 
preset: disabled) 


Active: active (running) since fös 2017-04-14 09:41:40 GMT; 53s ago 
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Process: 2601 ExecStartPost=/usr/lib/mysql/mysql-systemd-helper wait 
(code=exited, status=0/SUCCESS) 


Process: 2587 ExecStartPre=/usr/lib/mysql/mysql-systemd-helper upgrade 
(code=exited, status=0/SUCCESS) 


Process: 2493 ExecStartPre=/usr/lib/mysql/mysql-systemd-helper install 
(code=exited, status=0/SUCCESS) 


Main PID: 2600 (mysqld) 
Tasks: 23 (limit: 512) 
CGroup: /system.slice/mysql.service 
L-2600 /usr/sbin/mysqld --defaults-file=/etc/my.cnf --user=mysql 


«Ὁστερα τρέχουμε TO /usr/bin/mysql_secure_installation: 


hekla:~ # /usr/bin/mysql_secure_installation 
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB 
SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY! 


In order to log into MariaDB to secure it, we'll need the current 
password for the root user. If you've just installed MariaDB, and 
you haven't set the root password yet, the password will be blank, 
so you should just press enter here. 


Enter current password for root (enter for none): 
OK, successfully used password, moving on... 


Setting the root password ensures that nobody can log into the MariaDB 
root user without the proper authorisation. 


Set root password? [Y/n] Y 
New password: 
Re-enter new password: 
Password updated successfully! 
Reloading privilege tables.. 

z SESS 


By default, a MariaDB installation has an anonymous user, allowing anyone 
to log into MariaDB without having to have a user account created for 
them. This is intended only for testing, and to make the installation 
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go a bit smoother. You should remove them before moving into a 
production environment. 


Remove anonymous users? [Y/n] Y 
. Success! 


Normally, root should only be allowed to connect from 'localhost'. This 
ensures that someone cannot guess at the root password from the network. 


Disallow root login remotely? [Y/n] Y 
. Success! 


By default, MariaDB comes with a database named 'test' that anyone can 
access. This is also intended only for testing, and should be removed 
before moving into a production environment. 


Remove test database and access to it? [Y/n] Y 
- Dropping test database... 
. Success! 
- Removing privileges on test database... 
. Success! 


Reloading the privilege tables will ensure that all changes made so far 
will take effect immediately. 
Reload privilege tables now? [Y/n] Y 

. Success! 


Cleaning up... 


All done! If you've completed all of the above steps, your MariaDB 
installation should now be secure. 


Thanks for using MariaDB! 


EE Oployou, TO password yta TOv χρήστη root Thc MariaDB δεν υπάρχει, yl’ AUTO KL όταν 
μας ζητείται πατάμε απλά το πλήκτρο [Enter]. Στη συνέχεια ορίζουμε ένα password 
για TO χρήστη root της MariaDB (για λόγους ασφαλείας το πληκτρολογούμε δύο po- 
ρές και δεν φαίνεται στο τερματικό), διαγράφουµε τους υπάρχοντες ανώνυμους 
χρήστες της βάσης, απαγορεύουµε τα απομακρυσμένα login στο λογαριασμό root 


72 


Χτίσιμο LEMP stack στο openSUSE 


της MariaDB, διαγράφουµε την υπάρχουσα δοκιμαστική βάση και, τέλος, υποχρεώ- 
νουµε το σύστημα να λάβει υπόψη όλες τις αλλαγές που μόλις πραγματοποιήσαμε. 
Όπως διαπιστώνετε κι εσείς, εκτός απὀ τον καθορισμό password για τον root της 
MariaDB σε "όλες: τις άλλες ερωτήσεις αρκεί να δώσουμε τις προεπιλεγμένες 
απαντήσεις. 


θέλουμε η MariaDB να ξεκινά αυτόματα κατά την εκκίνηση του λειτουργικού, γι 
αυτό κι ενεργοποιούµε τη σχετική υπηρεσία: 


hekla:~ # systemctl enable mysql 


Created symlink from /etc/systemd/system/multi-user.target.wants/mysql.service 
to /usr/lib/systemd/system/mysql.service. 


Γιατί βλέπουμε διαρκώς αναφορές στη MySQL; 


H MariaDB αναπτύσσεται από την κοινότητα του Ανοικτού/Ελεύθερου Λογισµι- 
κού και αποτελεί fork της γνωστής MySQL, η οποία από το 2010 ανήκει στην 
Oracle. Οι συχνές εμφανίσεις του ονόματος MySQL δεν πρέπει να µας προκα- 
λούν εντύπωση, αφού η MariaDB έχει σχεδιαστεί we drop-in replacement της 
MySQL. M' άλλα λόγια, όποιο εργαλείο ἡ εντολή χρησιμοποιούμε σε µια εγκα- 
τάσταση της MySQL, το ίδιο ακριβώς εργαλείο ή εντολή χρησιμοποιούμε και σε 
µια εγκατάσταση της MariaDB. 


Εγκατάσταση ΡΗΡ για την παραγωγή δυναμικού περιεχοµένου 


Στο LEMP stack που χτίζουμε προς το παρόν υπάρχει το Linux (προφανώς), ο web 
server (nginx), καθώς και η σχεσιακή βάση δεδοµένων (MariaDB). O nginx σερβίρει 
ιστοσελίδες, ενώ η MariaDB αποθηκεύει δεδοµένα και συσχετισμούς μεταξύ διαφο- 
ρετικών οντοτήτων. Αυτό που λείπει εἶναι κάτι για την παραγωγή δυναμικού TEPLE- 
χομένου. Θα καταφύγουµε στη γλὠσσα PHP. Επειδή ο nginx δεν έχει την παραμικρή 
ιδέα για την PHP, θα εγκαταστήσουµε πρωτα το Module amo το πακέτο phpd-fpm 
(FastCGI Process Manager) και, μετά από ορισμένες απαραίτητες ρυθμίσεις, θα πού- 
µε στον web server va στέλνει τα όποια αιτήµατα PHP στην αντίστοιχη διεργασία. Θα 
εγκαταστήσουµε επίσης και το module από το πακέτο php5-mysql, ώστε η PHP να 
είναι σε θέση να επικοινωνεί µε τη MariaDB. Υπάρχει και µια σειρά από ἀλλαπακέτα 
που αξίζει να εγκαταστήσουμε, τα οποία για τις ανάγκες του παρόντος δεν έχει VÓ- 
nua v' αναφέρουμε Eva προς ένα: 


hekla:~ # zypper -n in php5 php5-gd php5-fpm php5-pear php5-mysql php5-gettext 
php5-suhosin php5-mbstring 


Μετά την εγκατάσταση των πακέτων πηγαίνουμε στον κατάλογο /etc/php5/fpm... 
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hekla:~ # cd /etc/php5/fpm 
ωκαι αντιγράφουµε το αρχείο php-fpm.conf.default στο php-fpm.conf: 
hekla:/etc/php5/fpm # cp php-fpm.conf.default php-fpm. conf 


Ανοίγουμε το αρχείο php-fpm.conf µε τον editor της προτίμησής µας και φροντίζου- 
UE WOTE οι γραμμές... 


ΙΘΓΓΟΓ 1ος = log/php-fpm. log 
user = nobody 

group = nobody 

listen = 127.0.0.1:9000 
;listen.owner = nobody 
;listen.group = nobody 
;listen.mode = 0660 


«Να τροποποιηθούν και να γίνουν όπως οι ακόλουθες: 


error_log = log/php5-fpm.log 
user = nginx 

group = nginx 

listen = /var/run/php5-fpm. sock 
listen.owner = nginx 
listen.group = nginx 
listen.mode = 0660 


Αν βοηθάει, ιδού και το diff μεταξύ του πρωτότυπου αρχείου php-fpm.conf.default 
και του τροποποιηµένου php-fpm.conf: 


hekla:/etc/php5/fpm # diff php-fpm.conf.default php-fpm. conf 
32692 

< ;error_log = log/php-fpm. log 

> error_log = log/php5-fpm. log 

148 ,149c148, 149 

< user = nobody 
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< group = nobody 

> user = nginx 

> group = nginx 

159c159 

< listen = 127.0.0.1:9000 
> listen = /var/run/php5-fpm. sock 
170,172c170,172 

< ;listen.owner = nobody 
< ;listen.group = nobody 
< ;listen.mode = 0660 

> listen.owner = nginx 

> listen.group = nginx 

> listen.mode = 0660 


Αφού τελειώσουμε µε τις αλλαγές στο php-fpm.conf πηγαίνουμε στον κατάλογο / 
etc/php5/cli: 


hekla:/etc/php5/fpm # cd /etc/php5/cli 

Ανοίγουμε το αρχείο php.ini, εντοπίζουµε τη γραμμή 
cgi. fix_pathinfo=1 

και την αλλάζουμε WOTE va εἶναι ακριβώς όπως η ακόλουθη: 
cgi.fix_pathinfo=0 


Χωρίς αυτή την αλλαγή, όποτε ζητείται éva αρχείο που δεν υπάρχει τότε η PHP 
προσπαθείνα εκτελέσειτοπιο 'κοντινό' αρχείο που µπορεί να εντοπίσει. Έτσι, ένας 
επιτιθέμενος είναι εύκολο να προκαλέσει την εκτέλεση αρχείων στα οποία κανονι- 
κά δεν θα έπρεπε να EXEL πρόσβαση. Αποθηκεύουμε την αλλαγή µας στο php.ini και 
το αντιγράφουµε στον κατάλογο /etc/php5/conf.d: 


hekla:/etc/php5/cli # cp php.ini ../conf.d 
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Στο σηµείο αυτό έχουμε τελειώσει µε τη ρύθμιση της PHP, μένει όμως να πείσουμε 
και τον nginx να συνεργαστεί µε TOV processor της γλώσσας (EV προκειμένω µε TO 
php5-fpm). 


Συνεργασία nginx και PHP 


H συνεργασία επιτυγχάνεται σε επίπεδο server block, δηλαδή ανά site που φιλοξενεί 
και σερβίρει ο nginx. Ta server blocks Tou nginx είναι αντίστοιχα των virtual hosts 
του Apache (https://deltahacker.gr/?p=17194) και το προκαθορισμένο server block 
περιγράφεται στο αρχείο /etc/nginx/nginx.conf. Το ανοίγουμε µε κάποιον text editor 
και πραγματοποιούμε τις ακόλουθες δύο αλλαγές. 


1. Στο τµήµα 
location / { 
root /srv/ww/htdocs/; 


index index.html index.htm; 


ἢ 

και συγκεκριµένα στη γραμμή 
index index.html index.htm; 

προσθέτουμε Eva Index.php στε να γίνει έτσι: 
index index.php index.html index.htm; 

2. Κάτω amo το τµήµα 
error_page 500 502 503 504 /50x.html; 
location = /50x.html { 


root /srv/ww/htdocs/; 
} 


προσθέτουμε το ακόλουθο τμήμα: 


location ~ \.php$ { 
root /srv/ww/htdocs; 
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try_files $uri =404; 

include /etc/nginx/fastcgi_params; 

fastcgi_pass unix:/var/run/php5-fpm. sock; 

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 
} 


Αποθηκεύουμετις αλλαγές στο Nginx.conf κι ελέγχουμε το συντακτικό του αρχείου 
για λάθη: 


hekla:/etc/nginx # nginx -t 
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok 
nginx: configuration file /etc/nginx/nginx.conf test is successful 


Εν συνεχεία ξεκινάμε την υπηρεσία php-fpm (χωρίς To "5')... 
hekla:/etc/nginx # systemctl status php-fpm.service 


KGL φροντίζουμε WOTE να ενεργοποιείται αυτόματα κατά την εκκίνηση του 
openSUSE: 


hekla:/etc/nginx # systemctl enable php-fpm.service 


Synchronizing state of php-fpm.service with SysV init with /usr/lib/systemd/ 
systemd-sysv-install... 


Executing /usr/lib/systemd/systemd-sysv-install enable php-fpm 


Warning: //etc/init.d/php-fpm is masked by /usr/lib/systemd/system/php-fpm. 
service. 


Try ‘chkconfig php-fpm on' instead 


Created symlink from /etc/systemd/system/multi-user.target.wants/php-fpm. 
service to /usr/lib/systemd/system/php-fpm. service. 


Βεβαίως, επενεκκινούµε και τον Nginx: 
hekla:/etc/nginx # systemctl restart nginx 


Πώς βεβαιωνόμαστε OTL ο nginx πράγματι συνεργάζεται µε την PHP; Πολύ καλό 
ερώτημα. Πηγαίνουµε στον κατάλογο που χρησιμοποιεί το προκαθορισμένο Server 
block, ο οποίος δεν είναι άλλος από τον /srv/www/htdocs: 
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hekla:/etc/nginx # cd /srv/www/htdocs 


Δημιουργούμε εκεί Eva πολύ απλό αρχείο PHP, To οποίο όταν εκτελείται επιστρέφει 
πληροφορίες για TO σύστημα: 


hekla:/srv/www/htdocs # echo "<?php phpinfo(); 22" > info.php 


Από έναν web browser πηγαίνουμε στη διεύθυνση http://hekla.colder.local/info.php, 
όπου βέβαια στη θέση του hekla.colder.local εσείς θα βάλετε είτε το FQDN είτε το 
αριθμητικό IP του δικού σας server. Αν όλα έχουν πάει καλά, στον browser θα δούμε 
πληθώρα πληροφοριών για TO σύστημα. Και κάπως έτσι, λοιπόν, αποκτήσαµε έναν 
openSUSE Leap server µε καλορυθμισμένο LEMP stack. 


999 < Β ϐ ο. hekla.colder.local/info.php G 9 


G 
Ώι 
El 


System Linux hekla 4.4.57-18.3-default #1 SMP Thu Mar 30 06:39:47 UTC 2017 (39c8557) x86_64 
Server API FPM/FastCGl 

Virtual disabled 

Directory 

Support 

Configuration | /etc/php5/fpm 

File (php.ini) 

Path 

Loaded (none) 

Configuration 


File 
Scan this dir | /ete/php5/conf.d 
for additional 
ini files 
‘Additional | /etc/php5/conf.d/ctype .ini, /etc/php5/conf.d/dom..ini, /ete/php5/conf.d/gd..ini, 
απ] files /etc/php5/conf.d/gettext.ini, /ete/php5/conf.d/iconv.ini, /etc/php5/conf.d/json.ini, 


parsed /etc/php5/conf.d/mbstring.ini, /ete/php5/conf.d/mysq].ini, /ete/php5/conf.d/mysgi.ini, 
/etc/php5/conf.d/pdo.ini, SEE αμην παν. Jetc/php5/conf.d/pdo_sqlite.ini, 
/etc/php5/conf.d/php.ini, /etc/php5/conf.d/sqlite3. ini, /etc/php5/conf.d/suhosin. ini, 
/etc/php5/conf.« aoken zer ini, E ini, /etc/php5/conf.d/xmlwriter.ini, 
Jetc/php5/conf.d/zlib. 

PHP API 20121113 

PHP 20121212 

Extension 

Zend 220121212 

Extension 

Zend AP1220121212,NTS 

Extension 

Bul LEMP stack on 

PHP API20121212,NTS. 

Extension I 

Enten openSUSE Leap, baby! 

Debug Build |no 

Thread disabled 

Safety 

Zend Signal |disabled 

Handling 

Zend Memory | enabled 

Manager 

Zend provided by mbstring 

Multibyte 

Support 


O nginx είναι πλέον ικανός να μεταχειρίζεται αρχεία PHP χάρη στο php-fpm — κι epeiç έχουµε ένα πλήρες 
LEMP stack στον openSUSE server µας. Παρεμπιπτόντως, το αρχείο info.php που δημιουργήσαμε πριν λίγο 
δεν το χρειαζόμαστε άλλο και τώρα μπορούμε να το διαγράψουμε. 
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— 
DigitalOcean 


Ταχύτατα VPSes oto cloud, σε hosts µε δίσµους SSD. 
Επιβογή datacenter σε Ευρώπη, Αμεριµή μαι Ασία. 
Lean-mean control panel, για απόῆυτο έβεγχο. 


Αποητήστε τώρα το δικό oas VPS, 

oto cloud tns DigitalOcean. 

Κάντε KAIK oto http://bit.ly/digocean 1 Ooff 
Kal κερδίστε αυτομάτως 105 σε credit. 


Hint: Επιβέγοντας το µιμρό πϑάνο, 

πάντα με μῆιη στο http: //bit. ly/digocean1 Ooff, 
ουσιαστιµά έχετε δύο µήνες δωρεάν για ένα VPS 
µε 512ΜΒ RAM, 20GB SSD και 1TB transfer. 


ΜΝ Δεν είναι KI άσχημα 


Skill: Beginner 
Tags: Nextcloud, administration 


Αναβάθµιση Nextcloud 
από το web panel 


Όταν φτάνει η ώρα για την αναβάθµιση Tou Nextcloud, το σύστηµα δεν χάνει 
ευκαιρία για να µας το θυμίζει. Όσο φασαριόζικη κι αν φαντάζει µια τέτοια 
δουλειά καλό είναι να µην την αμελούμε -- ειδικά αν ο Server εἶναι προσβάσιμος 
από To Internet. 


Ευτυχώς η όλη διαδικασία επιτυγχάνεται εὐκολα, µέσα απὀ το web panel του 
Nextcloud. Όταν λοιπόν υπάρχει διαθέσιµη αναβάθμιση, το πληροφορούμαστε µε 
éva σωρό τρόπους. Δείτε, T.X., τα τρία screenshots που ακολουθούν. 


Nextcloud 


è Oo % 
subZraw 


[τας κ General Network 
nue.colder.xyz 


Server Activity | «55 Sync Protocol | “» Not Synced 


Action Required: Notifications 


V Update to Nextcloud 11.0.2 is available. 
Created at 15 day(s) ago | Close 


Server Activities 


ἆ You deleted Documents/Various/Icelandic/Icelandic_WotD... 1 hour(s) ago on nue.colder.xyz 
2 You changed LPtHW/ex43.py and cvarelas.suse.de/home/... 3 hour(s) ago on nue.colder.xyz 
a You created LPtHW/ex43.py 3 hour(s) ago on nue.colder.xyz 
a You deleted Documents/Various/Icelandic/Icelandic_WotD... 3 hour(s) ago on nue.colder.xyz 
2 You changed cvarelas.suse.de/home/sub0/Documents/not... 6 hour(s) ago on nue.colder.xyz 


p ἃ You deleted Documents/Various/Icelandic/Icelandic_WotD... 7 hour(s) ago on nue.colder.xyz 


| copy | 


i Close i 


Μας αρέσει ο επίσημος client για To Nextcloud (https://nextcloud.com/install/#install-clients), ο οποίος 
διατίθεται για όλα τα γνωστά desktop operating systems. Στο στιγμιότυπο απεικονίζεται η εκδοχή για Linux και, 
όπως βλέπετε, ενημερώνει για τη νέα έκδοση του Nextcloud (την 11.0.2). 
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Virkni fös 17. mar, 07:07 
E 


föstudagur 


17. mars 2017 


Nextcloud Notifications - Action Required 
1 new notification(s) from ni e 
mars 


Nextcloud Notifications - Action Required 
You received 1 new notit from nue.colder.xyz. 


Nextcloud Notifications - Action Required 
from nue.colder.xyz. 


Ειδοποιήσεις για τη διαθεσιμότητα νέας έκδοσης εμφανίζει και το περιβάλλον Tou GNOME. 


& Files - Nordostbahnh... x \ + 


€) Oa πι nue.colder.xyz/index.php/apps/files/?¢ c Search 


Ba Alfiles 4 + 


οἳ to nextcloud 11.0245 available. 


% Favorite [η Work 25.9 GB 9 hours ago 
< Shared with you 
|] LPtHW 14 hours ago 
<< Shared with others 
Ι΄ | cvarelas.suse.de 120.5 MB 14 hours ago 
& Shared by link 
Documents 48GB 3 days ago 
® το Γη ys ag 
a al storage Ba dalvik.suse.de 4days ago 
ΒΕ Photos 56608  Sdaysago 
citroworld < Shared 900.9MB 13 days ago 
oa Hugo 32.3 MB 4 days ag 
|] Transfers 13.5 MB 
ΔΕ Coursera 20.7 GB 
o] thePast 53.7 GB 
È Deleted files 
o fa Media 50.8 GB 


Ακόμη κι av δεν χρησιμοποιούμε κάποιον client για To Nextcloud, µε login στο web panel της πλατφόρμας 
παίρνουμε ειδοποίηση για τη νέα διαθέσιµη έκδοση. 


81 


VHA@KER 


Προκειμένου ν' αναβαθµίσουµε το Nextcloud µε χρήση του παρεχόµενου web panel, 
amo τον browser της προτἰμησής µας συνδεόµαστε σε έναν λογαριασμό της TAAT- 
φόρμας ο οποίος έχει δικαιώματα διαχειριστή. Κάνουμε ένα κλικ στο όνομα TOU 
αντίστοιχου χρήστη (πάνω δεξιά) κι επιλέγουμε το Admin. Στη νέα σελίδα που gy- 
φανίζεται, πατάμε στο κουμπί Open updater. 


{Admin - Nordostbahn... κ \ + 


€) © @ | https://nue.colder.xyz/index.php/settings/admi © |] Search σον 4 "b σε 


Server settings 


Server info 


Sharing 


External storages 
Theming 
Encryption 
Workflow 

Usage survey 
Logging 
Additional settings 


Tips & tricks 


Στη νέα σελίδα που 
εμφανίζεται βλέπουμε 
την Τρέχουσα έκδοση 

του Nextcloud, καθώς 

κι αυτή στην οποία θα 
βρισκόμαστε µετά την 
αναβάθµιση. Προχωράµε 
µε Κλικ στο Start update. 
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O Webcron 
© Cron 
] 
Version 
Nordostbahnhof@NUE 11.0.1 (stable) 
Anew version is available: Nextcloud 11.0.2 Open updater 
Update channel: stable τ 


Notify members of the following groups about available updates: 


admin 


Mozilla Firefox 
{ https://nue...ings/admin κ \ + 


€) © @ | hitps://nue, colder.xyz/index. php/settings/ 


Στη σελίδα Admin, στο 
web panel του Nextcloud, 
φτάνουμε έχοντας πρώτα 
κάνει login σε λογαριασμό 
χρήστη µε δικαιώµατα 
διαχειριστή. Η διαδικασία 
της αναβάθμισης ξεκινά 
µε Κλικ στο κουμπί Open 
updater. 


admir | @ |[Q Search πο 4 Ὁ is Or = 


Update 


v Initializing 


Current version is 11.0.1. 
Update to Nextcloud 11.0.2 available. (channel: "stable") 
Following file will be d 


/releases/nextcloud-11 


Start update 


iloaded automatically: https: //download.nextcloud. com/server 


Αναβάθµιση Nextcloud απὀ To web panel 


Αναλόγως των αδειών πρόσβασης στον κατάλογο όπου εἶναι εγκατεστημένο TO 
Nextcloud, η διαδικασία της αναβάθμισης είναι πολύ πιθανό να σταματήσει πρόωρα 
και στον browser να εμφανιστεί μήνυμα για έλεγχο των δικαιωμάτων για εγγραφή. 


Mozilla Firefox =~ oe τ 
ΕΣ https://nue...ings/admin x \ + 
€) © @ | https://nue.colder.xyz/index.php/settings/admir α ||Q Search A +A Ὁ % Oo Ff = 


Update 


v Check for expected files | 


9 Check for write permissions 


The following places can not be written to: 
© /var/www/html/updater/./. 
© /var/www/html/updater/../occ 
© /var/www/html/updater/../AUTHORS 
è /var/www/html/updater/./lib/. 
© /var/www/html/updater/../lib/public/PreConditionNotMetException.php 
è /var/www/html/updater/../lib/public/. 
© /var/www/html/updater/../lib/public/Lockdown/. 
© /var/www/html/updater/../lib/public/Lockdown/ILockdownManager.php 
© /var/www/html/updater/../lib/public/Share.php 
© /var/www/html/updater/../lib/public/Command/. 
e /var/www/html/updater/../lib/public/Command/iCommand.php 
© /var/www/html/updater/../lib/public/Command/IBus.php 
© /var/www/html/updater/../lib/public/IAppConfig.php 
© /var/www/html/updater/../lib/public/IUserManager.php 
© /var/www/html/updater/../lib/public/App/. 
è /var/www/html/updater/../lib/public/App/ManagerEvent.php 
© /var/www/html/updater/../lib/public/App/[AppManager.php 
© /var/www/html/updater/../lib/public/App/AppPathNotFoundException.php 
© /var/www/html/updater/../lib/public/Contacts/. 
© /var/www/html/updater/../lib/public/Contacts/IManager.php 
© /var/www/html/updater/../lib/public/ICacheFactory.php 
© /var/www/html/updater/../lib/public/Defaults.php 
è /var/www/html/updater/../lib/public/Preview/. 
© /var/www/html/updater/../lib/public/Preview/IProvider.php 
© /var/www/html/updater/../lib/public/lAddressBook.php 
© /var/www/html/updater/../lib/public/SabrePluginException.php 
è /var/www/html/updater/../lib/public/Session/Exceptions/. 
© /var/www/html/updater/../lib/public/Session/Exceptions 
/SessionNotAvailableException.php 
© /var/www/html/updater/../lib/public/Session/. 


H αναβάθμιση δεν µπορεί να προχωρήσει, αφού δεν επιτρέπεται η εγγραφή εντός του 
καταλόγου όπου βρίσκεται To Nextcloud :/ 


Στο πλαίσιο του παραδεἰγματός µας αναβαθµίόουµε µια εγκατάσταση του Nextcloud 
σε Raspberry Pi (βλ. άρθρο σελ. 14). H πλατφόρμα βρίσκεται εντός του /var/ 
www/html κι ο κατάλογος ανήκει στο χρήστη µε username TO pi, ο οποίος είναι κι ο 
μόνος µε δικαιώµατα εγγραφής. Μεταξύ των περιεχομένων του html υπάρχουν δύο 
υποκατάλογοι, OL apps και config, οι οποίοι ανήκουν στο χρήστη www-data. Μέσα 
από τον ομώνυμο λογαριασμό τρέχει ο updater του Nextcloud και, κατά πώς φαί- 
νεται, χρειάζεται δικαιώματα εγγραφής και σ’ άλλους καταλόγους. Αφού σηµειώ- 
GAYE τους υποκαταλόγους του html που ανήκουν στον www-data, δώσαμε στον εν 
λόγω χρήστη το ιδιοκτησιακό καθεστώς του καταλόγου /var/www/html καθώς και 
πόλων” των περιεχομένων του: 
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VHAQKER 


pi@nordostbahnhof:~ $ sudo chown -R ww-data:ww-data /var/www/html 


Μετά ξεκινήσαμε και πάλι την εγκατάσταση του Nextcloud, κι αυτή τη φορά η διαδι- 
κασία προχώρησε ομαλά. 


Mozilla Firefox - DB x 


E https://nue...ings/admin κ. \ + 
€) © @ | https://nue.colder.xyz/index.php/settings/admir 6 |[Q Search τ 8} tf ο “ᾱ OF = 


» Initializing 


Current version is 11.0.1. 
Update to Nextcloud 11.0.2 available. (channel: “stable") 


Following file will be downloaded automatically: https: //download.nextcloud.com/server 


/releases/nextcloud-11.0.2.zip 
v Check for expected files 
v Check for write permissions 
v Enable maintenance mode 
v Create backup 


* Downloading 


Αφού δώσαμε στο χρήστη www-data το ιδιοκτησιακό καθεστώς του καταλόγου /var/www/html, 
επιχειρήσαµε και πάλι την αναβάθμιση κι αυτή τη φορά η διαδικασία προχώρησε ομαλά. 


Παρακολουθήστε στα screenshots που ακολουθούν πώς ολοκληρώνεται η αναβάθ- 
µιση του Nextcloud. Μετά το πέρας της, µην ξεχάσετε να επαναφέρετε το ιδιοκτησι- 
ακό καθεστώς του καταλόγου /var/www/html στην πρότερη κατάσταση. Εμείς, T.X., 
στο Raspberry Pi πληκτρολογήσαμε τα ακόλουθα: 


pi@nordostbahnhof:~ $ sudo chown -R pi:pi /var/ww/html 
pi@nordostbahnhof:~ $ sudo chown -R ww-data:ww-data /var/www/html/apps 
pi@nordostbahnhof:~ $ sudo chown -R ww-data:ww-data /var/ww/html/config 
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Αναβάθµιση Nextcloud από το web panel 


Κανό την avapéouon 


E https://nue...ings/admin * \ + 


€) Oa πι 


Update 


Μετά την επιλογή Tou 
web updater πατάμε στο 
κουμπί στο Κάτω µέρος 
της σελίδας, ώστε να 
τελειώσουμε µε την 
αναβάθμιση. 


jue.colder.xyz/index.php/s 


” ΕΦ α 9 Ὦ 9 # 


v Initializing 
Current version is 11.0.1. 
Update to Nextcloud 11.0.2 available. (channel: "stable") 
will be c 


/nextcloud-11,0.2.zip 


wnloaded automatically: https: //download.nextcloud.com/server 


v Check for expected files 


y Check for write permis: 


v Enable maintenance mo 

v Create backup 

v Downloading 

v Extracting 

v Replace entry points 

v Delete old files 

v Move new files in place 
Keep maintenance mode active? 


Yes (for usage with command line tool) Νο (for usage of the web based updater) 


Mozilla Firefox 
E https://nue...ings/admin x \ + 
€) © a | https 


A tO 


To Nextcloud μπαίνει 

σε maintenance mode. 
Θα ολοκληρώσουµε τη 
διαδικασία µε τη βοήθεια 
του web based updater 
κι όχι από τη γραμμή 
εντολών, οπότε τώρα 
κάνουμε κλικ στο κουμπί 
No (for usage of the web 
based updater) κάτω 
δεξιά. 


boor = 


Update 


v Initializing 


Current version is 11.0.1. 


v Check for expected files 
v Check for write permissions 


v Enable maintenance πης 


v Create backup 

y Downloading 

v Extracting 

v Replace entry points 


v Delete old files 


D 


v Move new files in place 


v Keep maintenance mode active? 


Maintenance mode will get disabled. 


v Done 


Go back to your Nextcloud instance to finish the update 


https://nue.colder.xyz 
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© Nordostbahnhof@NUE κ 


€) © A | https:/ 


e.colder.xyz: 


ον 


dex. php 


Nordostbahnhof@NUE - Mozilla Firefox 


ς ||Q Search vyreaetnrag 


Please make sure that the database, the config 
folder and the data folder have been backed up 
before proceeding 


VHA@KER 


Μεταφερόµαστε ξανά 
στην αρχική σελίδα του 
Nextcloud. Ακόμη δεν 
βλέπουμε τη συνηθισμένη 
προτροπή για login σε 
λογαριασμό χρήστη, 
ούτε τους καταλόγους 
Kal Τα αρχεία κάποιου 
υπάρχοντα χρήστη. 
Αντίθετα, καλούμαστε 
να πατήσουµε TO 

κουμπί Start update. 
Αναλόγως Tou µεγέθους 
της εγκατάστασης, Το 
τελευταίο αυτό στάδιο 
ίσως διαρκέσει αρκετά 
λεπτά. 


Start update 


Nordostbahnhof@NUE - Cc 


jordostbahnhof@NUE - Mozilla Firefox o κ 


© Admin - Nordostbahn... κ \ + 


€) Oa | hte 


Server settings Webcron 


/nue.colder.xyz/index.php/settings/admii ς \ Search 


wE tA ὉὮ θυ = 


Server info Cron 


D 


Encryptio 
as Nordostbahnhof@NUE 11.0.2 (stable) 


Your version isup to date. 1 


Usage survey Update channel: stable = 


groups about avallable updates: 


Tips & trick 


, Η αναβάθμιση Developed by the Nextcloud community, the source code is licensed under the AGPL. 
ολοκληρώθηκε επιτυχώς. 
Έχουμε, πλέον, την πιο 
πρόσφατη έκδοση του 


Nextcloud (από το κανάλι 


Stable). | 
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Skill: Intermediate 
Tags: macOS, virtual networks, name servers, DNS resolution 


Φορητά εικονικά 
εργαστήρια 


και ρυθμίσεις δικτύωσης αναλόγως της 
τοποθεσίας 


Για τα laptop που αλλάζουν συχνά φυσική τοποθεσία, κι επομένως συνδέονται 
συχνά σε διαφορετικά δίκτυα, οι παράμετροι δικτύωσης που λαμβάνονται από 
τον εκάστοτε router μερικές φορές δεν βολεύουν. 


Το λιγότερο που αλλάζει από δίκτυο σε δίκτυο εἰναι η διεύθυνση ΙΡ του laptop, η 
διεύθυνση του gateway (router), καθώς και οι Name servers. Πα τις δύο πρώτες πα- 
ραμέτρους είναι μάλλον απίθανο να νοιαστούμε, ἰσως όµως έχουµε ενστάσεις για 
την τρίτη. Μπορεί, T.X., να µην εμπιστευόµαστε τους Name Servers που παρέχονται 
αυτόματα απὀ τον router μπροστά µας και να θέλουμε να χρησιμοποιήσουμε εκεί- 
νους της Google (8.8.8.8 και 8.8.4.4) ἡ κάποιον (εικονικό) recursive name server που 
τρέχουμε τοπικά, στον ἰδιο µας τον υπολογιστή (για τα διάφορα είδη name servers 
διαβάστε το σχετικό άρθρο στο hitps://deltahacker.gr/?p=14739). 


> 


AAG TO VA UN δεχόμαστε πάντοτε τους Name Servers που γνωστοποιούνται από τον 
ποιον router και κατά περίπτωση ναυποδεικνύουμε τον δικό µας ή τους δικούς µας, 
εν ἐχει πάντα να κάνει µε ζητήματα εμπιστοσύνης. Στο MacBook nou χρησιμοποιεί 
γράφων, για παράδειγµα, ενίοτε λειτουργεί ένα εικονικό δίκτυο, το οποίο EXEL τον 
ικό του εικονικό router µε το θαυμάσιο pfSense (https://deltahacker.gr/?p=8234). 
ταν γίνεται χρήση του εικονικού δικτύου, θέλουμε να φτάνουμε στα ΨΜοπίσω από 
ο pfSense πληκτρολογώντας τα FQDNS τους κι όχι τις αντίστοιχες αριθμητικές 
ιευθύνσεις ΙΡ. Παράδειγμα: Αντί amo To host OS (µε το macOS) va συνδεόµαστε σε 
éva VM µε openSUSE πληκτρολογώντας στο τερματικό ssh sub0@172.16.164.204, 
προτιµάµε να πληκτρολογούμε ssh sub0@holmavik.colder.local ἡ ακόµη και ssh 
sub0@holmavik (όπου holmavik είναι το hostname του VM και colder.local είναι το 
εσωτερικό domain που εξυπηρετεί το pfSense). 


©% O- 


σοιο 


œ% - 


Μία πρώτη λύση σ' αυτό το πρόβλημα εἶναι να ενημερώσουμε κατάλληλα το αρχείο 
/etc/hosts του MacOS, WOTE να περιλαμβάνει γραμμές της μορφής 


172.16.164.204 holmavik holmavik.colder.local 
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Φορητά εικονικά εργαστήρια και ρυθµίσεις δικτύωσης αναλόγως της τοποθεσίας 


Επιπρόσθετα, μπορούμε να ρυθµίσουµε το pfSense ώστε σε συγκεκριµένα VMs να 
δίνει πάντοτε την ἴδια διεύθυνση ΙΡ (µε βάση το MAC address της αντίστοιχης ELKO- 
νικής κάρτας δικτύου), ὥστε οι σχετικές γραμμές εντός του /etc/hosts να είναι πά- 
ντοτε έγκυρες. Ξέρετε κάτι, όμως; Πολλά VMs σήμερα εἰναι, αύριο δεν εἰναι. Αυτό 
σημαίνει ότι OL πληροφορίες εντός του /etc/hosts δύσκολα θα παραμένουν επίκαι- 
ρες και συχνά πυκνά θα πρέπει να επεμβαίνουμε. 


Μια καλύτερη λύση εἶναι να εκμεταλλευτούμε τα προφίλ σύνδεσης αναλόγως της 
τοποθεσίας. Η σχετική δυνατότητα παρέχεται σε MacOS, Linux και Windows, στο πα- 
ρόν άρθρο όµως επικεντρωνόµαστε στο πρώτο από τα τρία λειτουργικά. H γενική 
ιδέα είναι ότι ναι μεν ο υπολογιστής µας συνδέεται σε ἕνα ενσύρματο ή ασύρματο 
δίκτυο και λαμβάνει αυτόματα ρυθμίσεις δικτύωσης από τον router μπροστά του, 
ανά πάσα στιγµή όµως ενεργοποιούµε ένα από τα προφίλ δικτύωσης που έχουµε 
δημιουργήσει κι αυτομάτως κάποια πράγματα αλλάζουν και γίνονται όπως ακριβώς 
μας βολεύει. Πα ένα συγκεκριµένο σενάριο, δείτε τα τέσσερα screenshots που ακο- 
λουθούν και βεβαίως διαβάστε τις αντίστοιχες περιγραφές. 


99 < ΕΞ Network Q Search 
Location: PWLAN & virtual pfSense ο 
Wi-Fi — 
Connected = Status: Connected Turn Wi-Fi Off 
Wi-Fi is connected to pwlan and has the IP 
Bluetooth PAN θ address 192.168.1.254. 
Not Connected 


Thunde...t Bridge 


Not Connected Network Name:  pwlan | 2] 


Ask to join new networks 


Known networks will be joined automatically. If 
no known networks are available, you will have 
to manually select a network. 


Show Wi-Fi status in menu bar Advanced... 2 


Assist Me... 


Είμαστε συνδεδεμένοι ασύρματα σε ένα Access Point µε όνομα pwlan, όπως βλέπετε όµως αντί για To location ονόματι 
"Automatic" έχουµε επιλέξει ένα άλλο, µε όνομα "PWLAN & virtual pfSense". Αν είχαμε αφήσει την τοποθεσία Automatic, 
To laptop θα λάμβανε όλες ανεξαιρέτως” τις παραμέτρους δικτύωσης από τον αντίστοιχο ασύρματο router. Στη 
συγκεκριμένη περίπτωση αυτό καθόλου δεν µας πειράζει, αφού εμπιστευόμαστε απόλυτα το δίκτυο (είναι στο σπίτι των 
γονέων και τον router τον έχουµε ρυθμίσει εμείς οι ίδιοι). Από το όνοµα του επιλεγμένου location, όµως, είναι φανερό ότι 
η παρουσία του (εικονικού) pfSense router αλλάζει κάπως το σκηνικό της δικτύωσης. 
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VHAQKER 


oec τη Network Με κλικ στο drop-down μενού 
SS =~ gra δεξιά Tou Location, εκτός 
από την επιλογή υπάρχουσας 


: τα zones 
ο Locations < τοποθεσίας έχουµε τη 
Automatic δυνατότητα να ορίζουµε νέες 
Wi-Fi — PWLAN & virtual pfSense 4 4 s 
WM . Ξ5 TENNERO ή va διαγράφουµε παλιές 


(πατήστε στο Edit Locations). 
Προκειμένου να υποδείξουµε 
τις παραμέτρους δικτύωσης 


Ἷ h lan and has the IP 
Bluetooth PAN 
ν Not Connected 


ee 5 Eon 
τοποθεσία αρχικά την 
etworks επιλέγουμε, κάνουμε ένα κλικ 
᾿οηεί[χο!εἰεχπητιθεσήµαι στο κουμπί Apply, κάτω δεξιά, 
> e available, you will have 4 4 { 
€ το manually select a network. DET UnCn are KCDOTOIROOHTE 
Advanced ano πάνω. 


Show Wi-Fi status in menu bar Advanced... 2 


_Assist Me... | | Revert | | Apply 


> Ta : PEE Έχουμε επιλεγμένη την 
Ses ee = τοποθεσία "PWLAN & virtual 
--- ᾿ pfSense" και παρατηρούμε 
- τις αντίστοιχες ρυθμίσεις 
_ Wi-Fi ΕΠΙ DNS WINS 8021X Proxies Hardware δικτύωσης. Στην καρτέλα 
TCP/IP, δείτε ότι για TO 
Configure IPv4: Manually Oo Configure Ue OSE 
To Manually. Έχουμε 

IPv4 Address: 192.168.1.254 ρυθμίσει εμείς οι ίδιοι τον 
συγκεκριµένο wireless 
router κι έτσι γνωρίζουμε τη 


Subnet Mask: 255.255.255.0 


Router: 192.168.1.1 διεύθυνσή του (192.168.1.1), 
καθώς κι ότι TO 192.168.1.254 
Configure IPv6: Automatically [ο] είναι εκτός του εύρους 


διευθύνσεων που μοιράζει ο 
αντίστοιχος DHCP server. Av 


πάλι δεν γνωρίζαμε πολλά 
2a02:587:2008:e800'1416:5287:73a6:7dbe 64 για Tov wireless router, για To 
2a02:587:a005:e800:bcd2:aed1:e306:5fec 64 Configure IPv4 κάλλιστα θα 


μπορούσαμε να είχαμε αφήσει 
το Using DHCP (και συνεπώς 
Τα IPv4 Address, Subnet Mask 
και Router θα ρυθµίζονταν 
αυτόματα). Σε κάθε 

2 Cancel OK περίπτωση, αυτό που είναι 
σηµαντικό στην περίπτωσή 
μας εἰναι να οριστεί από εμάς, 
δηλαδή ὀχι αυτόματα, ο name 
server για TN συγκεκριμένη 
τοποθεσία. 


Router: fe80::1 


IPv6 Address Prefix Length 
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Φορητά εικονικά εργαστήρια και ρυθμίσεις δικτύωσης αναλόγως της τοποθεσίας 


Θ Network 


> Wi-Fi 


Wi-Fi TCP/IP | 2s WINS  802.1X Proxies Hardware 


DNS Servers: Search Domains: 
172.16.164.254 colder.local 
+ IPv4 or IPv6 addresses + 


Cancel OK 


Ιδού λοιπόν η κρίσιµη παρέμβασή µας, αναφορικά µε To DNS. Δείτε ότι έχουµε ορίσει εμείς οι ίδιοι την 
αριθμητική διεύθυνση ΙΡ του μοναδικού name server που θέλουμε (172.16.164.254): πρόκειται για τη 
διεύθυνση που έχει το LAN interface του εικονικού pfSense router. Επίσης, στο Search Domains έχουμε 
το colder.local, αφού αυτό είναι το όνομα του εσωτερικού domain που εξυπηρετεί ο recursive name 
server Tou pfSense. 
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